Cisco Affronta Vulnerabilità Critica: Patch per Falla di Sicurezza nei Prodotti Unified Communications e Contact Center Solutions
Cisco ha recentemente rilasciato importanti correzioni per affrontare una grave vulnerabilità di sicurezza che colpisce i prodotti Unified Communications e Contact Center Solutions.
Identificata come CVE-2024-20253 con un punteggio CVSS di 9.9, questa falla è causata da un’elaborazione impropria dei dati forniti dall’utente, consentendo a un attaccante remoto e non autenticato di inviare un messaggio appositamente creato a una porta in ascolto di un’apparecchiatura vulnerabile.
Secondo l’avviso di Cisco, un exploit riuscito potrebbe consentire all’attaccante di eseguire comandi arbitrari sul sistema operativo sottostante con i privilegi dell’utente dei servizi web. Ciò potrebbe, a sua volta, consentire all’attaccante di stabilire l’accesso radice al dispositivo interessato.
Il ricercatore di sicurezza Julien Egloff di Synacktiv è stato accreditato per la scoperta di questa vulnerabilità. I prodotti colpiti includono Unified Communications Manager, Unified Contact Center Express, Unity Connection e Virtualized Voice Browser in varie versioni.
Nonostante Cisco abbia rilasciato correzioni, l’azienda sta incoraggiando gli utenti a implementare liste di controllo degli accessi (ACL) su dispositivi intermedi per limitare l’accesso quando l’applicazione immediata degli aggiornamenti non è possibile.
Questo approccio è particolarmente consigliato in assenza di soluzioni alternative per affrontare la vulnerabilità.
Questa divulgazione segue di poche settimane un’altra importante correzione di sicurezza da parte di Cisco per una vulnerabilità critica che colpiva Unity Connection (CVE-2024-20272, punteggio CVSS: 7.3).
L’azienda continua a impegnarsi nella protezione dei suoi prodotti e consiglia agli utenti di seguire attentamente le indicazioni per garantire la sicurezza delle proprie reti e dispositivi.