Remote-Codeausführung in Cisco Unified Communications: Kritische Schwachstelle erfordert sofortiges Handeln

Eine kürzlich identifizierte Schwachstelle in mehreren Cisco Unified Communications-Lösungen ermöglicht nicht authentifizierten Angreifern die Ausführung beliebiger Befehle auf dem Betriebssystem betroffener Systeme. Cisco stuft das Risiko als kritisch ein und stellt Software-Updates zur Verfügung.

Technische Details zur Schwachstelle

In verschiedenen Cisco Unified Communications-Produkten wurde eine Schwachstelle entdeckt, die unauthentifizierten Angreifern die Möglichkeit gibt, willkürliche Befehle auf dem Betriebssystem anfälliger Geräte zu starten. Betroffen sind Cisco Unified Communications Manager (Unified CM), Cisco Unified Communications Manager Session Management Edition (Unified CM SME), Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P), Cisco Unity Connection sowie Cisco Webex Calling Dedicated Instance.

Die Ursache der Schwachstelle liegt in einer mangelhaften Prüfung von Nutzereingaben bei der Verarbeitung von HTTP-Anfragen. Angreifer können die Lücke nutzen, indem sie speziell präparierte HTTP-Anfragen an die webbasierte Administrationsoberfläche der betroffenen Systeme übermitteln. Bei erfolgreicher Ausnutzung erhalten Angreifer zunächst Zugang zum Betriebssystem mit Nutzerrechten und können anschließend ihre Rechte auf Root-Ebene ausweiten.

Kritische Einstufung durch Cisco

Cisco hat der Sicherheitsempfehlung eine Security Impact Rating (SIR) der Stufe „kritisch“ zugeordnet, obwohl die numerische Bewertung eigentlich auf „hoch“ hindeuten würde. Diese Hochstufung begründet das Unternehmen mit der Möglichkeit zur Rechteausweitung auf Root-Ebene nach erfolgreicher Kompromittierung.

Cisco Bug IDs:

CVSS Score:

Betroffene Systeme

Die Schwachstelle betrifft folgende Cisco-Produkte unabhängig von deren Konfiguration:

Unified CM (CSCwr21851)
Unified CM SME (CSCwr21851)
Unified CM IM&P (CSCwr29216)
Unity Connection (CSCwr29208)
Webex Calling Dedicated Instance (CSCwr21851)

Detaillierte Informationen zu den anfälligen Softwareversionen finden sich im Abschnitt „Behobene Software“ der offiziellen Sicherheitsempfehlung.

Nicht betroffene Produkte

Cisco hat bestätigt, dass folgende Produkte nicht von der Schwachstelle betroffen sind:

Contact Center SIP Proxy
Customer Collaboration Platform
Emergency Responder
Finesse
Packaged Contact Center Enterprise (Packaged CCE)
Prime Collaboration Deployment
Unified Contact Center Enterprise (Unified CCE)
Unified Contact Center Express (Unified CCX)
Unified Intelligence Center (CUIC)
Virtualized Voice Browser

Verfügbare Patches und Empfehlungen

Cisco hat Software-Updates bereitgestellt, die die Schwachstelle schließen. Workarounds zur Absicherung betroffener Systeme existieren nicht. Das Unternehmen betrachtet sämtliche temporären Lösungen lediglich als Übergangslösungen bis zur Installation einer korrigierten Softwareversion.

Administratoren betroffener Systeme wird dringend empfohlen, zeitnah auf die gepatchten Versionen zu aktualisieren, um eine vollständige Behebung der Schwachstelle und Schutz vor künftigen Angriffen sicherzustellen.

Weitere Informationen

Die vollständige Sicherheitsempfehlung mit detaillierten Versionstabellen und Update-Pfaden ist unter folgendem Link verfügbar:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voice-rce-mORhqY4b

Die Tabellen listen die betroffenen Cisco-Softwareversionen sowie die jeweiligen korrigierten Versionen auf, auf die ein Upgrade durchgeführt werden sollte.

Das sollten Sie sich ansehen: