Cisco: Lücke erlaubt komplette Übernahme von Unified Communication-Produkten

Cisco-Administratorinnen und -Administratoren müssen ihre Unified Communications-Produkte zügig aktualisieren, warnt der Hersteller. Eine kritische Sicherheitslücke darin ermöglichen Angreifern am Ende, höchste Zugriffsrechte im Betriebssystem verwundbarer Geräte zu erlangen und so die vollständige Kontrolle darüber zu übernehmen.

In der Sicherheitsmitteilung schreiben Ciscos Entwickler, dass Angreifer in mehreren Cisco Unified Communications-Produkten und in Contact Center Solutions-Programmen aus dem Netz ohne vorherige Anmeldung beliebigen Code einschleusen und ausführen können. Das gehe auf unangemessene Verarbeitung von Nutzer-übergebenen Daten zurück, die in den Speicher gelesen würden. Dazu müssen bösartige Akteure lediglich sorgsam präparierte Nachrichten an einen Port des Geräts schicken, auf dem dieses lauscht.

Cisco: Vollständige Übernahme der Kontrolle

Nach erfolgreichem Ausnutzen der Schwachstellen können Angreifer beliebige Befehle im unterliegenden Betriebssystem ausführen, mit den Rechten des Web-Dienstes. Mit dem Zugriff auf das unterliegende Betriebssystem können Angreifer sich zudem root-Rechte auf verwundbaren Geräten verschaffen: Damit haben sie die vollständige Kontrolle darüber(CVE-2024-20253, CVSS 9.9, Risiko "kritisch").

Für betroffene Kunden stellt Cisco aktualisierte Software bereit, die die Lücke schließen soll. Kunden mit Service-Verträgen können sie auf der Support- und Download-Seite von Cisco herunterladen.

In der Sicherheitsmitteilung listen die Autoren verwundbare und nicht-verwundbare Produkte und Software-Versionen auf. In der Standardkonfiguration sind folgende Produkte von der Schwachstelle betroffen:

• Packaged Contact Center Enterprise (PCCE)
• Unified Communications Manager (Unified CM)
• Unified Communications Manager IM & Presence Service (Unified CM IM&P)
• Unified Communications Manager Session Management Edition (Unified CM SME)
• Unified Contact Center Enterprise (UCCE)
• Unified Contact Center Express (UCCX)
• Unity Connection
• Virtualized Voice Browser (VVB)

Demnach beheben konkret die Softwarestände 12.5(1)SU8 und 14SU3 für Unified CM und Unified CM SME, Unified CM IM&P und Unity Connection das Problem. Der 15er-Zweig ist nicht betroffen, wer noch 11.5 einsetzt, muss auf eine noch unterstützte Version migrieren. Für PCCE und UCCE, UCCX sowie VVB müssen Nutzer der Version 12.0 und älter auf eine noch unterstützte Fassung umsteigen. Für Version 12.5(1) steht bei allen das Release ucos.v1_java_deserial-CSCwd64245.cop.sgn bereit, auch hier ist Version 15 nicht angreifbar.

Vor rund zwei Wochen hatte Cisco Schwachstellen in Cisco Unity Connection ausbessern müssen. API-Fehler erlaubten da Angreifern, root-Rechte auf ungepatchten Systemen zu ergattern.

(dmk)