Aggiornamenti recenti Settembre 16th, 2024 2:30 PM
Gen 30, 2024 Marina Londei In evidenza, News, RSS, Vulnerabilità 0
Cisco ha pubblicato un avviso di sicurezza dove ha reso nota una vulnerabilità critica che colpisce i prodotti Unified Communications e Contact Center. Il bug, tracciato come CVE-2024-20253, consente a un attaccante non autenticato di eseguire codice da remoto sul dispositivo colpito.
La vulnerabilità è causata da un’elaborazione impropria dell’input utente in memoria. Un attaccante può sfruttare questa vulnerabilità inviando un messaggio creato ad hoc al dispositivo; in caso di successo, il bug consente all’aggressore di eseguire comandi arbitrari con privilegi base ed eventualmente elevarli a root per ottenere il controllo del dispositivo.
Le versioni vulnerabili dei prodotti sono le 11.5, 12.5.1 e 14 di Unified Communications Manager, Unified Communications Manager IM & Presence Service e di Unified Communications Manager Session Management Edition; a queste si aggiungono le versioni 12.5.1, 12.0 e precedenti di Unified Contact Center Express, le versioni 11.5.1, 12.5 1 e 14 di Unity Connection e le versioni 12.5.1, 12.5.2, 12.0 e precedenti di Virtualized Voice Browser.
Cisco sottolinea che non esistono workaround e invita gli utenti dei suoi prodotti ad applicare il prima possibile la patch risolutiva. Chi non potesse aggiornare immediatamente i prodotti può mitigare il rischio di attacco definendo delle liste per i controlli di accesso sui dispositivi intermedi che separano le soluzioni Unified Communications e Contact Center dal resto della rete, abilitando le comunicazioni alle sole porte su cui eseguono i servizi.
La compagnia ricorda tuttavia che, nonostante questa soluzione si sia rivelata efficace negli ambienti di test, l’applicabilità e l’efficacie effettiva dipendono dal singolo ambiente. Il metodo indicato da Cisco deve essere comunque qualcosa di temporaneo in vista dell’aggiornamento dei prodotti.
Neanche due settimane fa Cisco aveva risolto un’altra vulnerabilità critica presente in Unity Connection: il bug consentiva a un attaccante non autenticato di caricare file malevoli sul sistema, eseguire comandi ed elevare i privilegi a quelli di root.
Set 13, 2024 0
Set 09, 2024 0
Ago 29, 2024 0
Ago 26, 2024 0
Set 16, 2024 0
Set 16, 2024 0
Set 13, 2024 0
Set 12, 2024 0
Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Set 03, 2024 0
Le identità digitali si moltiplicano e con esse anche le...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 12, 2024 0
I ricercatori di ReversingLabs hanno identificato alcune...