Mit <kes>+ lesen

Cisco behebt Sicherheitslücke in der Unity-Connection-Software

Cisco hat neue Software-Updates veröffentlicht, um eine wichtige Sicherheitslücke in Unity Connection zu beheben. Diese Lücke könnte es einem Angreifer erlauben, auf dem zugrunde liegenden System beliebige Befehle auszuführen.

Bedrohungen
Lesezeit 1 Min.

Die Schwachstelle, die Cisco jetzt mit einem Update behoben hat, wird unter der Bezeichnung CVE-2024-20272 (CVSS-Score: 7.3) geführt. Sie tritt als Fehler beim Hochladen beliebiger Dateien in der webbasierten Verwaltungsschnittstelle von Cisco Unity Connection auf. Das Problem entsteht durch das Fehlen einer angemessenen Authentifizierung in einer bestimmten API in Verbindung mit einer unzureichenden Überprüfung der vom Benutzer bereitgestellten Daten.

Cisco hat darauf hingewiesen, dass ein Angreifer diese Schwachstelle ausnutzen könnte, indem er beliebige Dateien auf das betroffene System hochlädt. Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, schädliche Dateien auf dem System zu speichern, beliebige Befehle auf dem Betriebssystem auszuführen und die Rechte auf „root“ zu erhöhen.

Die betroffenen Versionen sind:

  • 12.5 und früher (Problem gelöst in Version 12.5.1.19017-4)
  • 14 (Problem gelöst in Version 14.0.1.14006-5)

Version 15 von Cisco Unity Connection ist nach Unternehmensangaben nicht von dieser Schwachstelle betroffen.

Die Entdeckung und Meldung der Schwachstelle wird dem Sicherheitsforscher Maxim Suslov zugeschrieben. Obwohl Cisco keine Informationen darüber bereitgestellt hat, dass die Schwachstelle bereits aktiv ausgenutzt wird, wird Benutzern dringend geraten, auf die behobenen Versionen zu aktualisieren, um mögliche Sicherheitsrisiken zu minimieren.

Neben dem Patch für CVE-2024-20272 hat Cisco auch Updates zur Behebung von 11 Sicherheitslücken mittlerer Schwere veröffentlicht, die Software des Netzwerkgiganten betreffen, darunter Identity Services Engine, WAP371 Wireless Access Point, ThousandEyes Enterprise Agent und TelePresence Management Suite (TMS).

Nach eigenen Aussagen beabsichtigt Cisco jedoch nicht, einen Fix für den Command-Injection-Bug in WAP371 (CVE-2024-20287, CVSS-Score: 6.5) zu veröffentlichen, da das Gerät im Juni 2019 das End-of-Life (EoL) erreicht hat. Stattdessen wird den Kunden empfohlen, auf den Cisco Business 240AC Access Point umzusteigen.

 

Diesen Beitrag teilen: