Cisco เตือนช่องโหว่ความรุนแรงสูงบน Unified Communications และ Contact Center

Cisco เตือนช่องโหว่ความรุนแรงสูงบน Unified Communications และ Contact Center ความรุนแรงระดับ 9.9 ผู้ดูแลระบบควรแพตช์ทันที

ช่องโหว่ CVE-2024-20253 เป็นช่องโหว่ระดับ Critical มีคะแนนตาม CVSS ที่ 9.9/10 คะแนน เกิดขึ้นในผลิตภัณฑ์ Cisco Unified Communications และ Contact Center Solutions ทำให้ผู้โจมตีสามารถรันคำสั่งบนอุปกรณ์ได้แบบ Remote โดยที่ไม่จำเป็นต้องยืนยันตัวตนจนสามารถเข้าถึงระบบได้ในระดับ root access ซึ่งช่องโหว่เกิดขึ้นในกระบวนการอ่านข้อมูลเข้าสู่หน่วยความจำ ผู้โจมตีเพียงแค่ส่งข้อมูลที่สร้างขึ้นมาแบบพิเศษไปยัง Listening port ก็สามารถโจมตีได้แล้ว ช่องโหว่นี้กระทบกับผลิตภัณฑ์ดังนี้

  • Packaged Contact Center Enterprise (PCCE) เวอร์ชัน 12.0 และเวอร์ชันก่อนหน้า, 12.5(1) และ 12.5(2)
  • Unified Communications Manager (Unified CM) เวอร์ชัน 11.5, 12.5(1), และ 14
  • Unified Communications Manager IM & Presence Service (Unified CM IM&P) เวอร์ชัน 11.5(1), 12.5(1), และ 14
  • Unified Contact Center Enterprise (UCCE) เวอร์ชัน 12.0 และเวอร์ชันก่อนหน้า, 12.5(1), และ 12.5(2)
  • Unified Contact Center Express (UCCX) เวอร์ชัน 12.0 และเวอร์ชันก่อนหน้า, 12.5(1)
  • Unity Connection เวอร์ชัน 11.5(1), 12.5(1), และ 14
  • Virtualized Voice Browser (VVB) เวอร์ชัน 12.0 และเวอร์ชันก่อนหน้า, 12.5(1), และ 12.5(2)

Cisco ได้ทำการออกแพตช์เรียบร้อยแล้ว และปัจจุบันยังไม่มี Workaround เพื่อแก้ไขปัญหานี้ ผู้ดูแลระบบควรอัปเดตทันที หรือหากไม่สามารถอัปเดตได้ทันที ผู้ดูแลระบบควรทำการตั้งค่า Access Control List (ACL) เพื่อป้องกันการเข้าถึงระบบเป็นการชั่วคราว อย่างไรก็ตามยังไม่มีรายงานการโจมตีที่ใช้ช่องโหว่นี้

ที่มา: https://www.bleepingcomputer.com/news/security/cisco-warns-of-critical-rce-flaw-in-communications-software/


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

PROEN พร้อมให้บริการ “ZStack Cloud” ซอฟต์แวร์สร้าง Private Cloud จัดการ VM ได้อย่างมั่นใจ

แม้ว่าองค์กรมากมายจะนิยมใช้งาน Public Cloud กันอย่างแพร่หลาย แต่ก็ปฏิเสธไม่ได้ว่ายังคงมีองค์กรอีกมากที่กังวลทั้งเรื่องความเป็นส่วนตัว (Privacy) ความมั่นคงปลอดภัย (Security) หรือเรื่องความยืดหยุ่น (Flexibility) และยังคงเชื่อว่าการเลือกใช้ “Private Cloud” น่าจะตอบโจทย์สิ่งเหล่านั้นได้มากกว่าการใช้งาน Public …

1-TO-ALL Webinar: ฟรี แปลทุกภาษาได้ด้วย Zoom AI ต่างชาติต่างภาษา ก็จบปัญหาด้วย Zoom AI [8 มี.ค. 2024 – 10.30น.]

1-TO-ALL และ Zoom ขอเรียนเชิญทุกท่านเข้าร่วมงานสัมมนาออนไลน์ฟรี "1-TO-ALL Webinar: ฟรี แปลทุกภาษาได้ด้วย Zoom AI ต่างชาติต่างภาษา ก็จบปัญหาด้วย Zoom AI" ในวันที่ 8 มีนาคม 2024 เวลา 10.30น. - 12.00น. เพื่อร่วมเรียนรู้และรับชมการทดสอบใช้งานจริงของความสามารถในการแปลภาษาบน Zoom ด้วย Zoom AI ที่เปิดให้ใช้งานได้แล้วสำหรับธุรกิจองค์กรที่ใช้ Zoom ทุกแห่ง รองรับกว่า 36 ภาษาทั่วโลก พร้อมพบกับความสามารถอื่นๆ ของ Zoom ที่จะช่วยให้การประชุมงานออนไลน์มีประสิทธิภาพอย่างที่ไม่เคยเป็นมาก่อน ไม่ว่าจะเป็น Zoom AI Companion และ Zoom One ที่คุณอาจจะยังไม่เคยรู้จักหรือใช้งาน