Критическая ошибка Cisco в CCX позволяет удаленно выполнить код
Cisco произвела оперативное исправление критической бреши в виде возможности удаленного выполнения кода в своем решении для управления взаимодействием с клиентами-Cisco Unified Contact Center Express (CCX).
Унифицированное программное обеспечение Cisco CCX позиционируется как «контактный центр в коробке», который позволяет компаниям развертывать приложения для обслуживания клиентов. Уязвимость, получившая идентификатор CVE-2020-3280, и имеющая оценку CVSS 9,8 из 10, проистекает из интерфейса удаленного управления Java продукта.
Уязвимость вызвана небезопасной десериализацией пользовательского контента уязвимым программным обеспечением. Злоумышленник может воспользоваться этой уязвимостью, отправив вредоносный объект Java определенному акцептору в уязвимой системе. Успешный эксплойт может позволить злоумышленнику выполнить произвольный код в качестве пользователя root на уязвимом устройстве.
следует из сообщения Cisco, опубликованном в среду
Анонимный киберпреступник может использовать этот недостаток для выполнения произвольного кода на уязвимом устройстве. Тем, кто использует Cisco Unified CCX версии 12.0 и ранее, настоятельно рекомендуется обновиться до сборки с обновлением безопасности системы 12.0 (1)ES03. Версия 12.5 не является уязвимой, заверяет Cisco.
Данная ИБ-брешь возникает из-за недостаточности проверки входных данных входящего трафика DHCP. Он существует на DHCP-сервере и может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, инициировать атаку типа DoS на уязвимом устройстве.
Злоумышленник может воспользоваться этой уязвимостью, отправив созданный запрос DHCP на уязвимое устройство. Успешный эксплойт может позволить злоумышленнику вызвать перезапуск процесса DHCP-сервера, вызывая состояние DoS.
следует из сообщения Cisco
Ранее в этом месяце Cisco также устранила 12 уязвимостей, влияющих на программное обеспечение Cisco Firepower Threat Defense (FTD), которое является частью ее пакета продуктов сетевой безопасности и управления трафиком; и ее программное обеспечение Adaptive Security Appliance (ASA).