Cisco mahsulotlaringizni hozir yangilang: Xavfsizlikning jiddiy kamchiliklari xakerlarga dasturiy ta’minotni o’g’irlash imkonini beradi haqida malumot

Bu hafta Cisco o’zining eng ko’p qo’llaniladigan dasturiy ta’minotida masofaviy tajovuzkorlarga ta’sirlangan qurilmada o’zboshimchalik bilan kodni ishga tushirish va vayronagarchilikka olib kelishi mumkin bo’lgan muhim zaiflik mavjudligi haqida ogohlantirdi. Kompaniya foydalanuvchilarni so’nggi nuqtalarini zudlik bilan tuzatishga chaqirmoqda.

Korporativ darajadagi ovozli, video va xabar almashish xizmatlarini, shuningdek, mijozlarni jalb qilish va mijozlarni boshqarishni ta’minlovchi Cisco’ning Birlashgan aloqa menejeri va Contact Center Solutions mahsulotlarining bir nechtasi ushbu kamchilikka ta’sir qiladi. Muammo foydalanuvchi tomonidan taqdim etilgan va xotiraga o’qiladigan ma’lumotlarni noto’g’ri qayta ishlashdan kelib chiqadi, deb tushuntirdi Cisco. xavfsizlik byulleteni. Undan qurilmada ochilgan tarmoq aloqa portlaridan biriga maxsus tayyorlangan xabar yuborish orqali foydalanish mumkin, bu xakerlarga veb-xizmatlardan foydalanuvchi imtiyozlari bilan zararli dasturlarni ishga tushirish imkonini beradi.

«Muvaffaqiyatli ekspluatatsiya tajovuzkorga veb-xizmatlardan foydalanuvchi imtiyozlari bilan asosiy operatsion tizimda o’zboshimchalik bilan buyruqlarni bajarishga imkon berishi mumkin», dedi Cisco. «Asosiy operatsion tizimga kirish imkoni bilan tajovuzkor ta’sirlangan qurilmada ildizga kirish huquqini ham o’rnatishi mumkin.»

CVE-2024-20253 nomi bilan tanilgan kamchilik birinchi marta Synacktiv xavfsizlik tadqiqotchisi Julien Egloff tomonidan ochilgan. Bu CVSS jiddiylik shkalasida 9.9 balldan 10 ballga baholangan. Zaif mahsulotlarning to’liq ro’yxatini quyida topishingiz mumkin:

• Yagona aloqa menejeri (Unified CM) (CSCwd64245)
• Unified Communications Manager IM & Presence Service (Unified CM IM&P) (CSCwd64276)
• Unified Communications Manager Session Management Edition (Unified CM SME) (CSCwd64245)
• Yagona aloqa markazi Express (UCCX) (CSCwe18773)
• Birlik ulanishi (CSCwd64292)
• Virtuallashtirilgan ovozli brauzer (VVB) (CSCwe18840)

Hozirda bu muammoni hal qilishning iloji yo’q, Cisco ogohlantiradi, shuning uchun u o’z foydalanuvchilariga mavjud xavfsizlik yangilanishlarini imkon qadar tezroq qo’llashni tavsiya qiladi. Agar biron sababga ko’ra yangilanishlarni darhol qo’llash imkoni bo’lmasa, kompaniya ma’murlarga yumshatish strategiyasi sifatida Cisco tarmoqlariga ulangan vositachi qurilmalarda kirishni boshqarish ro’yxatini o’rnatishni maslahat beradi.

“Faqat o‘rnatilgan xizmatlar portlariga kirishga ruxsat berish uchun Cisco Unified Communications yoki Cisco Contact Center Solutions klasterini foydalanuvchilar va tarmoqning qolgan qismidan ajratib turuvchi vositachi qurilmalarda kirishni boshqarish ro‘yxatlarini (ACL) yarating”, — dedi kompaniya.

Hozircha xakerlar ushbu zaiflikdan foydalangani yoki e’lon qilgani haqida hech qanday dalil topilmadi, deya xulosa qildi Cisco.