Ranjivost udaljenog izvršavanja koda u Cisco proizvodima
Dana 24. siječnja 2024. godine, tvrtka Cisco je objavila sigurnosno ažuriranje za kritičnu ranjivost koja zahvaća Cisco proizvode: Unified Communications i Contact Center Solutions. Ranjivost identificirana kao CVE-2024-20253 (CVSS ocjena 9.9), omogućuje neovlaštenom, udaljenom napadaču izvršavanje proizvoljnog kôda (engl. remote code execution - RCE) na ranjivom proizvodu.
Tehnički detalji ključne ranjivosti otklonjene ovim ažuriranjem:
Ranjivost proizlazi iz nepravilne obrade korisničkih podataka koji se učitavaju u memoriju, a iskorištava se slanjem posebno oblikovane poruke na listening port ranjivog proizvoda. Uspješno iskorištavanje omogućuje napadaču izvršenje proizvoljnih naredbi na temeljnom operativnom sustavu s privilegijama korisnika internetskih usluga, a s pristupom temeljnom operativnom sustavu, napadač bi također mogao steći sistemske privilegije (root) na ranjivom proizvodu.
Zahvaćeni proizvodi:
Navedena ranjivost utječe na sljedeće Cisco proizvode u zadanoj (engl. default) konfiguraciji:
- Unified Communications Manager (Unified CM), verzije 11.5, 12.5(1) i 14.
- Unified Communications Manager IM & Presence Service (Unified CM IM&P), verzije 11.5(1), 12.5(1) i 14.
- Unified Communications Manager Session Management Edition (Unified CM SME), verzije 11.5, 12.5(1) i 14.
- Unified Contact Center Express (UCCX), verzije 12.0 i ranije te 12.5(1).
- Unity Connection, verzije 11.5(1), 12.5(1) i 14.
- Virtualized Voice Browser (VVB), verzije 12.0 i ranije, 12.5(1) i 12.5(2)
Preporuke:
Preporučuje se žurno ažuriranje ranjivih Cisco proizvoda na najnoviju dostupnu inačicu.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://www.bleepingcomputer.com/news/security/cisco-warns-of-critical-rce-flaw-in-communications-software/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-rce-bWNzQcUm
[inicijalna objava: 30.1.2024 - 13:27]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Smjernice za postupanje s neklasificiranim podacima
- Pravilnik o standardima sigurnosti neklasificiranih informacijskih sustava