Aggiornamenti recenti Luglio 3rd, 2025 10:20 AM
Gen 30, 2024 Marina Londei In evidenza, News, RSS, Vulnerabilità 0
Cisco ha pubblicato un avviso di sicurezza dove ha reso nota una vulnerabilità critica che colpisce i prodotti Unified Communications e Contact Center. Il bug, tracciato come CVE-2024-20253, consente a un attaccante non autenticato di eseguire codice da remoto sul dispositivo colpito.
La vulnerabilità è causata da un’elaborazione impropria dell’input utente in memoria. Un attaccante può sfruttare questa vulnerabilità inviando un messaggio creato ad hoc al dispositivo; in caso di successo, il bug consente all’aggressore di eseguire comandi arbitrari con privilegi base ed eventualmente elevarli a root per ottenere il controllo del dispositivo.
Le versioni vulnerabili dei prodotti sono le 11.5, 12.5.1 e 14 di Unified Communications Manager, Unified Communications Manager IM & Presence Service e di Unified Communications Manager Session Management Edition; a queste si aggiungono le versioni 12.5.1, 12.0 e precedenti di Unified Contact Center Express, le versioni 11.5.1, 12.5 1 e 14 di Unity Connection e le versioni 12.5.1, 12.5.2, 12.0 e precedenti di Virtualized Voice Browser.
Pixabay
Cisco sottolinea che non esistono workaround e invita gli utenti dei suoi prodotti ad applicare il prima possibile la patch risolutiva. Chi non potesse aggiornare immediatamente i prodotti può mitigare il rischio di attacco definendo delle liste per i controlli di accesso sui dispositivi intermedi che separano le soluzioni Unified Communications e Contact Center dal resto della rete, abilitando le comunicazioni alle sole porte su cui eseguono i servizi.
La compagnia ricorda tuttavia che, nonostante questa soluzione si sia rivelata efficace negli ambienti di test, l’applicabilità e l’efficacie effettiva dipendono dal singolo ambiente. Il metodo indicato da Cisco deve essere comunque qualcosa di temporaneo in vista dell’aggiornamento dei prodotti.
Neanche due settimane fa Cisco aveva risolto un’altra vulnerabilità critica presente in Unity Connection: il bug consentiva a un attaccante non autenticato di caricare file malevoli sul sistema, eseguire comandi ed elevare i privilegi a quelli di root.
Giu 30, 2025 0
Giu 27, 2025 0
Giu 19, 2025 0
Giu 18, 2025 0
Lug 03, 2025 0
Lug 02, 2025 0
Lug 01, 2025 0
Giu 26, 2025 0
Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Mag 27, 2025 0
MATLAB ha smesso di funzionare per quasi una settimana e...Mag 27, 2025 0
Nel corso del “TRU Security Day 2025” di...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Lug 02, 2025 0
Secondo quanto riportato da un articolo di Bloomberg, un...Lug 01, 2025 0
In un documento congiunto rilasciato ieri, la CISA,...Giu 30, 2025 0
I ricercatori di Koi Security hanno individuato una...Giu 27, 2025 0
Durante un processo di analisi di vulnerabilità zero-day,...