Un bug RCE critique de Cisco Unified Communications permet un accès root

Une vulnérabilité de sécurité critique dans les solutions Cisco Unified Communications and Contact Center (UC/CC) pourrait permettre l’exécution de code à distance (RCE) non authentifié.

Le bug (CVE-2024-20253, 9.9 CVSS) survient grâce à « un traitement inapproprié des données fournies par l’utilisateur qui sont lues en mémoire », selon Avis de Ciscopublié hier.

Les attaquants distants qui ne sont pas connectés au système peuvent simplement envoyer des messages spécialement conçus au port d’écoute d’un périphérique vulnérable afin d’obtenir le RCE ; à partir de là, ils peuvent exécuter du code sur le système d’exploitation sous-jacent avec les privilèges de l’utilisateur des services Web et/ou obtenir un accès root.

Plateformes UC/CC de Cisco sont utilisés par les petites et moyennes entreprises (PME) et les grandes entreprises pour fournir des communications sur IP, notamment les appels vocaux, les appels vidéo, l’intégration mobile, le chat et la messagerie, les intégrations d’applications, etc. En tant que telle, la compromission d’un appareil pourrait avoir un certain nombre de conséquences néfastes, notamment : le verrouillage d’un l’infrastructure de communication de l’organisation avec des ransomwares et perturbant les interactions avec le service client ; permettre aux cyberattaquants d’infiltrer les téléphones IP et autres points finaux connectés au système ; écouter les communications; exfiltration de données ; reconnaissance des attaques de phishing ultérieures ; et plus.

L’avis de Cisco propose une liste des versions concernées et des correctifs correspondants. Pour ceux qui ne peuvent pas mettre à jour immédiatement, le géant des réseaux a également détaillé une voie d’atténuation. Cela implique d’établir des listes de contrôle d’accès (ACL) sur les appareils intermédiaires qui séparent le cluster UC/CC du reste du réseau, « pour permettre l’accès uniquement aux ports des services déployés ».