思科警告统一通信产品中存在严重漏洞，请立即修补！

思科发布了安全补丁，以解决一个严重的漏洞，该漏洞被跟踪为CVE-2024-20253（CVSS分数为9.9），影响了多个统一通信和联络中心解决方案产品。

未经身份验证的远程攻击者可以利用这个漏洞在受影响的设备上执行任意代码。

该问题的根本原因是用户提供的数据处理不当，这些数据正在被读入内存。攻击者可以通过向未打补丁设备的监听端口发送精心设计的消息来利用这个漏洞。

这个漏洞是由于用户提供的数据处理不当，这些数据正在被读入内存。攻击者可以通过向受影响设备的监听端口发送精心设计的消息来利用这个漏洞。IT巨头发布的咨询报告中写道。“成功的利用可以让攻击者在底层操作系统上以web服务用户的权限执行任意命令。一旦获得了底层操作系统的访问权限，攻击者还可以在受影响的设备上建立root访问。”

该漏洞影响默认配置下的以下产品：

统一通信管理器（Unified CM）（CSCwd64245）
统一通信管理器 IM & Presence 服务（Unified CM IM&P）（CSCwd64276）
统一通信管理器会话管理版（Unified CM SME）（CSCwd64245）
统一联络中心 Express（UCCX）（CSCwe18773）
Unity Connection（CSCwd64292）
虚拟语音浏览器（VVB）（CSCwe18840）

目前还没有解决方案可以修复这个问题，但是，该公司报告说，可以通过在中间设备上建立访问控制列表（ACLs），将思科统一通信或思科联络中心解决方案集群与用户和网络的其余部分隔离，只允许对已部署服务的端口进行访问，从而减轻这个漏洞的影响。

Cisco PSIRT（Cisco安全漏洞响应团队）并没有意识到野外有利用这个漏洞的攻击。

该漏洞由Synacktiv公司的Julien Egloff报告。

原文始发于微信公众号（黑猫安全）：思科警告统一通信产品中存在严重漏洞，请立即修补！