Cisco confirmou a existencia dunha vulnerabilidade zero-day de execución remota de código (RCE) que afecta a varios produtos da plataforma Cisco Unified Communications, a cal está a ser explotada activamente por atacantes en contornas reais.
A vulnerabilidade permite a atacantes non autenticados executar comandos arbitrarios sobre o sistema operativo subxacente a través da interface web de xestión, podendo chegar a obter acceso con privilexios de root.
Segundo Cisco, o fallo débese a unha validación incorrecta das entradas controladas polo usuario en solicitudes HTTP dirixidas á interface de administración. Mediante peticións especialmente deseñadas, un atacante pode eludir os mecanismos de autenticación, executar comandos a nivel de usuario e posteriormente escalar privilexios.
O equipo Cisco PSIRT (Product Security Incident Response Team) confirmou intentos de explotación activa e clasificou a vulnerabilidade como Crítica, atendendo ao impacto real e ao risco de compromiso total do sistema.
Sistemas e produtos afectados
A vulnerabilidade afecta, entre outros, aos seguintes produtos de Cisco Unified Communications, independentemente da súa configuración:
- Cisco Unified Communications Manager (Unified CM)
- Unified CM SME
- Unified CM IM & Presence (IM&P)
- Cisco Unity Connection
- Webex Calling (Dedicated Instance)
Outros produtos, como Contact Center SIP Proxy ou Unified CCE, foron confirmados como non afectados.
Impacto potencial
A explotación desta vulnerabilidade pode permitir:
- Execución remota de código sen autenticación
- Compromiso completo do sistema con privilexios de administrador
- Acceso non autorizado a servizos de comunicación corporativos
- Interrupción de servizos críticos de voz e colaboración
- Movemento lateral dentro da rede corporativa
Os contornos empresariais con despregamentos VoIP/UC expostos a Internet ou accesibles mediante VPN presentan un risco elevado, especialmente se non se aplicaron as actualizacións de seguridade correspondentes.
Medidas recomendadas
Cisco indicou que non existen medidas mitigadoras alternativas, polo que se recomenda adoptar de forma inmediata as seguintes accións:
- Aplicar de maneira urxente as actualizacións e parches de seguridade publicados por Cisco para as versións afectadas.
- Restrinxir o acceso á interface de administración exclusivamente a enderezos IP de confianza mediante firewalls.
- Supervisar os rexistros e detectar solicitudes HTTP anómalas dirixidas ás interfaces de xestión.
- Revisar despregamentos de Unified Communications expostos directa ou indirectamente a Internet.
- Priorizar a corrección en contornos críticos ou de alta dispoñibilidade.
Contexto da ameaza
Cisco PSIRT detectou que os atacantes están a empregar escáneres automatizados para localizar sistemas vulnerables sen parchear. A explotación desta vulnerabilidade enmárcase nunha tendencia crecente de ataques dirixidos contra plataformas de comunicacións unificadas, debido ao seu carácter crítico nas organizacións actuais.
Información adicional
- A vulnerabilidade foi comunicada a Cisco por un investigador externo, recoñecido oficialmente no aviso de seguridade.
- Só as versións explicitamente listadas por Cisco PSIRT están validadas como afectadas.
- Recoméndase seguir os avisos oficiais do fabricante para posibles actualizacións adicionais.
