Esta semana, Cisco anunció el lanzamiento de parches para abordar una vulnerabilidad crítica en Unified Contact Center Management Portal (Unified CCMP) y Unified Contact Center Domain Manager (Unified CCDM) cuya explotación exitosa permitiría a los actores de amenazas escalar sus privilegios en el sistema afectado.
Identificada como CVE-2022-20658, esta falla existe porque no hubo una validación de los permisos de usuario del lado del servidor, lo que permitió a un atacante enviar una solicitud HTTP manipulada para explotar el error en un sistema vulnerable. La falla recibió un puntaje de 9.6/10 según el Common Vulnerability Scoring System (CVSS).
Según el reporte, la explotación exitosa permitiría a los hackers crear cuentas de administrador para acceder y modificar la telefonía y los recursos de los usuarios en todas las plataformas unificadas que están asociadas al vulnerable Cisco Unified CCMP. La compañía también señala que los hackers solo necesitarían tener credenciales de usuario avanzado válidas para explotar con éxito la vulnerabilidad.
Cisco Unified CCMP y Unified CCDM, que se ejecutan con la configuración predeterminada, se ven afectados por el error. La falla fue actualizada con el lanzamiento de Unified CCMP/Unified CCDM v11.6.1 ES17, v12.0.1 ES5 y v12.5.1 ES5, mientras que v12.6.1 no se ve afectada por el error. Por el momento no se han detectado intentos de explotación activa.
Hace unos días la compañía tecnológica también anunció el lanzamiento de parches para ocho vulnerabilidades de gravedad media en Tetration, Secure Network Analytics, Prime Access Registrar Appliance, Prime Infrastructure (PI) y Evolved Programmable Network Manager (EPNM), varios modelos de teléfonos IP, Enterprise Chat y correo electrónico (ECE), Security Manager y Adaptive Security Device Manager (ASDM).
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
