Cisco ha confirmado la existencia de una vulnerabilidad zero-day de ejecución remota de código (RCE) que afecta a varios productos de la plataforma Cisco Unified Communications, la cual está siendo explotada activamente por atacantes en entornos reales.
La vulnerabilidad permite a atacantes no autenticados ejecutar comandos arbitrarios sobre el sistema operativo subyacente a través de la interfaz web de gestión, pudiendo llegar a obtener acceso con privilegios de root.
Según Cisco, el fallo se debe a una validación incorrecta de entradas controladas por el usuario en solicitudes HTTP dirigidas a la interfaz de administración. Mediante peticiones especialmente diseñadas, un atacante puede eludir los mecanismos de autenticación, ejecutar comandos a nivel de usuario y posteriormente escalar privilegios.
El equipo Cisco PSIRT (Product Security Incident Response Team) ha confirmado intentos de explotación activa y ha clasificado la vulnerabilidad como Crítica, atendiendo al impacto real y al riesgo de compromiso total del sistema.
Sistemas y productos afectados
La vulnerabilidad afecta, entre otros, a los siguientes productos de Cisco Unified Communications, independientemente de su configuración:
- Cisco Unified Communications Manager (Unified CM)
- Unified CM SME
- Unified CM IM & Presence (IM&P)
- Cisco Unity Connection
- Webex Calling (Dedicated Instance)
Otros productos, como Contact Center SIP Proxy o Unified CCE, han sido confirmados como no afectados.
Impacto potencial
La explotación de esta vulnerabilidad puede permitir:
- Ejecución remota de código sin autenticación
- Compromiso completo del sistema con privilegios de administrador
- Acceso no autorizado a servicios de comunicaciones corporativas
- Interrupción de servicios críticos de voz y colaboración
- Movimiento lateral dentro de la red corporativa
Los entornos empresariales con despliegues VoIP/UC expuestos a Internet o accesibles mediante VPN presentan un riesgo elevado, especialmente si no se han aplicado las actualizaciones de seguridad correspondientes.
Medidas recomendadas
Cisco ha indicado que no existen medidas de mitigación alternativas, por lo que se recomienda adoptar de forma inmediata las siguientes acciones:
- Aplicar urgentemente las actualizaciones y parches de seguridad publicados por Cisco para las versiones afectadas.
- Restringir el acceso a la interfaz de administración exclusivamente a direcciones IP de confianza mediante firewalls.
- Supervisar los registros y detectar solicitudes HTTP anómalas dirigidas a las interfaces de gestión.
- Revisar despliegues de Unified Communications expuestos directa o indirectamente a Internet.
- Priorizar la corrección en entornos críticos o de alta disponibilidad.
Contexto de la amenaza
Cisco PSIRT ha detectado que los atacantes están utilizando escáneres automatizados para localizar sistemas vulnerables sin parchear. La explotación de esta vulnerabilidad se enmarca en una tendencia creciente de ataques dirigidos contra plataformas de comunicaciones unificadas, debido a su carácter crítico en las organizaciones actuales.
Información adicional
- La vulnerabilidad fue reportada a Cisco por un investigador externo, reconocido oficialmente en el aviso de seguridad.
- Solo las versiones explícitamente listadas por Cisco PSIRT están validadas como afectadas.
- Se recomienda seguir los avisos oficiales del fabricante para posibles actualizaciones adicionales.
