Новая «дыра» в Cisco Unity Connection позволяет получать root-доступ и захватывать устройства
Уязвимость, связанная с некорректной валидацией пользовательского ввода, обнаружена и устранена самим вендором. Эксплойтов еще не обнаружено, но они, скорее всего, не заставят себя ждать.
До уровня root
Корпорация Cisco исправила критическую уязвимость в своем программном комплексе Unity Connection, которая в теории позволяла злоумышленникам получать root-привилегии на уязвимых устройствах.
Cisco Unity Connection - это виртуализированное решение для обмена сообщениями и голосовой почтой для email-клиентов, браузеров, а также коммуникационных программ Cisco Jabber и Cisco Unified IP Phone. Unity Connection также доступен для смартфонов и планшетов.
Уязвимость CVE-2024-20272 была обнаружена в веб-интерфейсе управления этой программы. Баг позволяет злоумышленнику загружать произвольные файлы в подлежащую операционную систему и запускать в ней произвольный код.
В пояснениях Cisco говорится лишь, что проблема связана с отсутствием авторизации в отдельно взятом API и некорректной валидации пользовательского ввода. Как следствие, злоумышленник может повысить свои привилегии до уровня root.
Как указывается в бюллетене группы по реагированию на инциденты с безопасностью Cisco, к настоящему моменту нет никаких данных о появлении каких-либо экспериментальных эксплойтов и практических попыток воспользоваться этой уязвимостью.
Проблема затрагивает версии Cisco Unity Connection 12.5 и ранее и 14. В версии 15 этого «бага» нет.
Операторам уязвимых версий настоятельно рекомендуется накатить исправляющие обновления - 12.5.1.19017-4 и 14.0.1.14006-5.
«Тот удачный случай, когда вендор обнаружил ошибку своими собственными силами до того, как ее обнаружили хакеры», - комментирует директор по информационной безопасности компании SEQ Анастасия Мельникова. По ее словам, теперь неясно, что произойдет быстрее: появится вредоносный код или операторы уязвимых систем установят обновления. «Сообщения о том, что пока эксплойтов к уязвимости нет, не являются поводом откладывать установку обновлений на неопределённый срок», - сказала Анастасия Мельникова.
Уязвимостей было больше
Сверх этого Cisco выпустила обновления сразу к десяти уязвимостям средней степени опасности, встречающимся в разных продуктах. Часть из них позволяют потенциальным злоумышленникам повышать привилегии, производить атаки межсайтового скриптинга, внедрять команды и т.д.
К одной из этих уязвимостей - CVE-2024-20287 - уже существует экспериментальный эксплойт, но использовать уязвимость можно только при наличии административных реквизитов доступа.
Этот баг затрагивает веб-интерфейс беспроводной точки доступа Cisco WAP371. Эти устройства уже более трех лет как сняты с поддержки, поэтому выпускать патчи для них вендор не будет.