Een kwetsbaarheid in Cisco Unified Communications Manager (CM) en Contact Center Solutions laat RCE toe. Nu patchen is de boodschap.
Cisco heeft een kwetsbaarheid gevonden in Unified Communications Manager (CM) en Contact Center Solutions. Beide producten zijn vatbaar voor Remote Code Execution (RCE). Een malafide hacker kan via de kwetsbaarheid arbitraire code uitvoeren op besmette toestellen.
Cisco Unified Communications en Contact Center Solutions bieden stem-, video- en berichtendiensten op enterpriseniveau. Het dient ook voor klantondersteuning en klantenbeheer.
De kwetsbaarheid draagt code CVE-2024-20253 en krijgt een kritieke score van 9,9 op 10. Cisco vertelt in een uitgebreid bulletin welke systemen getroffen zijn, welke versienummers en hoe je kan patchen.
Concreet gaat het om deze producten in hun standaardconfiguratie:
- Packaged Contact Center Enterprise (PCCE) versies 12.0 en ouder, 12.5(1) en 12.5(2)
- Unified Communications Manager (Unified CM) versies 11.5, 12.5(1), en 14.
- Unified Communications Manager IM & Presence Service (Unified CM IM&P) versies 11.5(1), 12.5(1), and 14.
- Unified Contact Center Enterprise (UCCE) versies 12.0 en ouder, 12.5(1), en 12.5(2).
- Unified Contact Center Express (UCCX) versies 12.0 en ouder, en 12.5(1).
- Unity Connection versies 11.5(1), 12.5(1), en 14.
- Virtualized Voice Browser (VVB) versies 12.0 en ouder, 12.5(1), en 12.5(2).
Nu patchen is de boodschap. Er bestaat geen manier om de kwetsbaarheid te mitigeren. Is patchen toch tijdelijk een probleem? Cisco adviseert om een Access Control List (ACL) in te stellen, maar patchen blijft uiteindelijk een vereiste.