Cisco Unified CM高危漏洞遭攻击者积极利用

来源:搜狐新闻 分类:手机
Cisco Unified CM高危漏洞遭攻击者积极利用

Cisco Unified CM出现了一个严重的漏洞,即便在补丁发布数周之后,攻击者依然在积极利用它。早些时候,Cisco已经发出警告,这个漏洞可能让攻击者获得root权限,并且已经发布了相关补丁。威胁情报公司Defused在6月23日报告了利用该漏洞的活动,他们提到周末观察到有攻击行为发生。"有人在利用来自某个未经验证的单一来源的PoC代码攻击这个漏洞,我们蜜罐中记录到了格式规范的file://文件写入载荷。"Defused在X平台上这样写道。漏洞的根源在于对特定HTTP请求的输入检查不够严格,"攻击者可以通过发送精心构建的HTTP请求来利用此漏洞",Cisco在公告中解释道。这个漏洞可能会让未经认证的远程攻击者通过受感染设备发起服务器端请求伪造(SSRF)攻击。公告还提到,攻击成功后,攻击者可以往底层操作系统里写文件,并且把权限提升到root级别。Defused指出,这次周末的攻击是他们记录到的首次针对这个漏洞的实际利用。"之前没有任何已记录的利用活动,而且这个漏洞还不在CISA KEV(已知被利用漏洞目录)上。"该公司在X帖子中写道。

Cisco在Defused报告攻击活动的几周前就已经在公告中承认,漏洞的概念验证利用代码已经在公开流传。Cisco产品安全事件响应团队(PSIRT)表示,在公告发布的时候还没有发现任何恶意的利用行为。Cisco没有立即回应置评请求。

这个漏洞影响着Cisco Unified CM和Unified CM SME产品,这些产品被广泛使用在企业环境中来处理语音、视频、即时消息、移动办公和会议服务。

Cisco称,如果目标系统运行的是存在漏洞的软件版本,并且启用了WebDialer服务,那么这个漏洞可以被远程利用。"WebDialer默认是禁用的。"Cisco在公告中特别说明了这一点。

目前,Cisco表示还没有找到能够完全修复这个漏洞的临时办法。"目前没有任何变通方案可以解决这个漏洞。"公司在公告中表示,"但是作为缓解措施,管理员可以在应用补丁之前禁用WebDialer服务。" 这个漏洞是由一名与SSD Secure Disclosure合作的独立安全研究员报告给Cisco的。尽管Cisco的公告将这个问题分类为SSRF漏洞,但SSD的分析表明,多个安全弱点可以被联合利用,从而实现更大范围的系统入侵。"Cisco CUCM产品存在多个漏洞,这些漏洞组合起来,可以让远程攻击者在服务器上写入任意文件,进而使得未经身份验证的攻击者能够在系统上执行代码。"SSD Secure在技术分析报告中写道。

SSD表示,攻击链从SSRF漏洞开始,然后可以被用来向服务器写入任意文件,这种文件写入的能力之后可以被用来在受影响的系统上执行代码。

Cisco建议用户升级到已经修复了该漏洞的软件版本。Cisco Unified CM及Unified CM SME 14版本系列的修复版本是14SU6,而15版本系列的修复版本将在2026年9月发布的15SU5中提供,或者可以通过临时COP补丁获得。

到目前为止,Cisco和Defused都没有公开将攻击活动归咎于任何特定的威胁行为者,也没有发布入侵指标,也没有透露是否有任何组织是通过利用这个漏洞而被成功入侵的。

Q&A A:该漏洞的CVSS评分为8.6,属于严重级别。未经身份验证的远程攻击者可以利用此漏洞发起服务器端请求伪造(SSRF)攻击,进而向底层操作系统写入任意文件,并将权限提升至root级别,最终实现在受影响系统上执行任意代码,完全控制目标设备。

A:受影响的产品包括Cisco Unified CM和Unified

相关推荐