ثغرة خطيرة في اتصال الوحدة من سيسكو – منتج للرسائل والبريد الصوتي يشكل جزءًا من مجموعة الاتصالات الموحدة لموردي الشبكات – يمكن أن يمكّن المهاجمين غير المصادقين والمهاجمين عن بعد من الحصول على امتيازات الجذر على الأنظمة المستهدفة، ويجب معالجته على الفور.
يكمن الخلل، الذي تم تعيينه بـ CVE-2024-20272، في واجهة الإدارة المستندة إلى الويب الخاصة بـ Unity Connection. لقد نشأ هذا بسبب عدم وجود مصادقة في واجهة برمجة تطبيقات معينة (API) والتحقق غير الصحيح من بيانات المستخدم والمورد.
“يمكن للمهاجم استغلال هذه الثغرة الأمنية عن طريق تحميل ملفات عشوائية إلى نظام متأثر. قالت شركة Cisco في تقرير استشاري نُشر في الساعة 4 مساءً بتوقيت جرينتش يوم الأربعاء 10 يناير: إن الاستغلال الناجح قد يسمح للمهاجم بتخزين ملفات ضارة على النظام، وتنفيذ أوامر عشوائية على نظام التشغيل، ورفع الامتيازات إلى الجذر.
“أصدرت Cisco تحديثات برامج تعالج هذه الثغرة الأمنية. ولا توجد حلول بديلة لمعالجة هذه الثغرة الأمنية.
ومن المعروف حاليًا أن الثغرة الأمنية تؤثر على الإصدارات 12.5 والإصدارات السابقة، والإصدار 14 من Unity Connection. الإصدار الأحدث، 15، لم يتأثر.
وتحث شركة Cisco مستخدمي Unity Connection على الحصول على التحديث المجاني الذي سيعالج المشكلة وتطبيقه، والذي يعود الفضل فيه إلى الباحث الأمني Maxim Suslov. مزيد من المعلومات متاحة من سيسكو.
وأضافت أن PSIRT الخاص بها لم يكن على علم بأي إفصاحات عامة أو استخدام ضار للثغرة الأمنية في هذا الوقت.
يوصف منتج Cisco Unity Connection بأنه “حل قوي للمراسلة والبريد الصوتي الموحد” يمكّن المستخدمين من الوصول إلى رسائلهم وإدارتها من صندوق بريدهم الإلكتروني أو متصفح الويب أو Cisco Jabber أو هاتف Cisco Unified IP Phone أو الهاتف الذكي أو الجهاز اللوحي.
وهو يتميز بمجموعة من خيارات الوصول إلى الرسائل وتنسيق التسليم، مثل دعم الأوامر الصوتية ونسخ الكلام إلى نص وتحية الفيديو.
تم تصميم المنتج لعمليات النشر العالمية المعقدة والموزعة مع التركيز بشكل خاص على المكاتب الفرعية، وهو افتراضي بالكامل ويمكن تشغيله على أجهزة قائمة على المواصفات.
نقاط الضعف الإضافية
إلى جانب تصحيح CVE-2024-20272، أصدرت Cisco أيضًا إصلاحات لـ 10 ثغرات أمنية إضافية أقل خطورة:
CVE-2024-20251، ثغرة أمنية في البرمجة النصية عبر المواقع في Cisco Identity Services Engine.
CVE-2024-20270، ثغرة أمنية في البرمجة النصية عبر المواقع في Cisco BroadWorks Application Delivery Platform وXtened Services Platform.
CVE-2023-20257 و-20258 و-20260 و-20271، ربع نقاط الضعف في البنية التحتية في Cisco Evolved Programmable Network Manager وCisco Prime Infrastructure.
CVE-2024-20287، ثغرة أمنية في حقن الأوامر في نقطة الوصول اللاسلكية Cisco WAP371.
CVE-2024-20277، ثغرة أمنية لتصعيد الامتيازات في الجهاز الظاهري لـ Cisco ThousandEyes Enterprise Agent.
وCVE-2023-20248 و-20249، زوج من الثغرات الأمنية في البرمجة النصية عبر المواقع في Cisco Telepresence Management Suite.
“إن الخطر الأكثر أهمية بالنسبة للمؤسسات ليس هو السرعة التي تطبق بها التصحيحات المهمة؛ بل يأتي من عدم تطبيق التصحيحات على كل الأصول”
بريان كونتوس، سيفكو للأمن
تم إصدار الإصلاحات المحدثة لثغرتين إضافيتين لتصعيد الامتيازات في Cisco Identity Services Engine – CVE-2023-20193 و-20194 – في 8 يناير. تم نشر هذه الأعداد لأول مرة في سبتمبر 2023.
وتعليقًا على التحديثات، قال بريان كونتوس، كبير ضباط الأمن في سيفكو للأمنوقال المتخصص في رؤية الأصول وإدارتها: “يبدو أننا نسمع كل يوم عن ثغرة أمنية خطيرة أخرى من شأنها أن تسبب الفوضى التي تسارع فرق أمان المؤسسة إلى تصحيحها قبل الانتقال إلى الثغرة التالية. إن الخطر الأكثر أهمية بالنسبة للمؤسسات ليس هو السرعة التي تطبق بها التصحيحات المهمة؛ يأتي من عدم تطبيق التصحيحات على كل الأصول.
“الحقيقة البسيطة هي أن معظم المؤسسات تفشل في الحفاظ على مخزون أصول تكنولوجيا المعلومات محدث ودقيق، ولا يمكن للنهج الأكثر دقة لإدارة التصحيح أن يضمن أن جميع أصول المؤسسة – بما في ذلك تلك التي تم التخلي عنها أو نسيانها – يتم حسابها . من المستحيل الدفاع عن شبكتك عندما لا تتمكن من رؤية سطح الهجوم بالكامل. ولهذا السبب فإن القدرة على تطوير مخزون شامل وفي الوقت الفعلي لأصول تكنولوجيا المعلومات يعد عنصرًا أساسيًا لأي برنامج أمني ناجح.
