思科提醒注意通信软件中的严重 RCE 漏洞

最新推荐文章于 2024-07-03 12:02:42 发布
最新推荐文章于 2024-07-03 12:02:42 发布
阅读量334 收藏
点赞数
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518760&idx=2&sn=d82d599134c7b2a410f4ccfe05d73d96&chksm=eb0c3eca6f71bfd23e4ae40b3f8eb8d5c63ba81d959d3c31c6723d9c644384a346620662a7f0&scene=126&sessionid=0
版权

20ea7144de0c52995ef2bb3497f7d9f4.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

思科提醒称,多款 Unified Communications Manager (CM) 和 Contact Center Solutions 产品易受严重的远程代码执行漏洞 (CVE-2024-20253) 影响。

思科 Unified Communications 和 Contact Center Solutions 是一体化解决方案,提供企业级语音、视频和消息服务以及客户参与和管理。该公司已发布安全公告提醒注意该漏洞,它可导致未认证的远程攻击者在受影响设备上执行任意代码。

该漏洞由 Synacktiv 公司的研究员 Julien Egloff 发现,CVSS 评分为9.9分,是由不正确地将用户提供的数据读取处理到内存导致的。攻击者可向监听端口发送特殊构造的信息,可能以 web 服务用户的权限获得执行任意命令的能力并建立root 访问权限。

该漏洞影响默认配置下的如下思科产品:

  • Packaged Contact Center Enterprise (PCCE) 12.0 及更早版本, 12.5(1) 和12.5(2)。

  • Unified Communications Manager (Unified CM) 版本11.5、12.5(1) 和14(Unified CM SME,同)。

  • Unified Communications Manager IM & Presence Service (Unified CM IM&P) 版本11.5(1)、12.5(1) 和14。

  • Unified Contact Center Enterprise (UCCE) 12.0 及更早版本,12.5(1) 和 12.5(2)。

  • Unified Contact Center Express (UCCX) 12.0 及更早版本和12.5(1)。

  • Unity Connection versions 11.5(1)、12.5(1) 和14。

  • Virtualized Voice Browser (VVB) 12.0及更早版本,12.5(1) 和12.5(2)。

思科表示目前不存在应变措施,推荐应用可用的安全更新。如下发布修复了这个严重的远程代码执行漏洞:

  • PCCE: 12.5(1) 和12.5(2) 应用补丁ucos.v1_java_deserial-CSCwd64245.cop.sgn。

  • Unified CM和Unified CME:12.5(1)SU8 或 ciscocm.v1_java_deserial-CSCwd64245.cop.sha512. 14SU3 或 ciscocm.v1_java_deserial-CSCwd64245.cop.sha512。

  • Unified CM IM&P: 12.5(1)SU8 或 ciscocm.cup-CSCwd64276_JavaDeserialization.cop.sha512. 14SU3 或 ciscocm.cup-CSCwd64276_JavaDeserialization.cop.sha512。

  • UCCE: 为12.5(1) 和 12.5(2) 应用补丁ucos.v1_java_deserial-CSCwd64245.cop.sgn。

  • UCCX: 为12.5(1) 应用补丁ucos.v1_java_deserial-CSCwd64245.cop.sgn。

  • VVB:为 12.5(1) 和12.5(2) 应用补丁ucos.v1_java_deserial-CSCwd64245.cop.sgn。

思科建议管理员如无法利用更新,则设置访问控制列表 (ACLs) 作为缓解措施。具体而言,建议用户在中间设备上执行ACLs,将Cisco Unified Communications 或 Cisco Contact Center Solutions 集群与用户和其它网络分隔开。必须将ACLs 配置为仅允许访问所部署服务的端口,从而控制能够触及受影响组件的流量。

在部署任何缓解措施之前,管理员应当评估它们的可用性以及对环境的潜在影响,并在受控空间进行测试,确保业务运营不受影响。思科表示并未发现该漏洞遭公开或被恶意利用的证据。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

思科称严重的 Unity Connection 漏洞可导致攻击者获得root权限

思科新0day 被用于在数千台设备上植入恶意后门 Lua

思科披露称严重的 IOS XE 认证绕过0day已遭利用

思科紧急修复 Emergency Responder 系统中的严重漏洞

原文链接

https://www.bleepingcomputer.com/news/security/cisco-warns-of-critical-rce-flaw-in-communications-software/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

e2e05e6f181af13105ea9e0fe6bd9b87.jpeg

996c74f6c40412c59e8d8846e0e5bda7.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   81f88cbccf292664715bca07231463d4.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
CVE-2024-22252、CVE-2024-22253、CVE-2024-22254,张口就来
2401_83740129的博客
04-03 979
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
新的 OpenWrt RCE 漏洞曝光,影响数百万台网络设备
m0_74079109的博客
10-21 1741
随着物联网的不断发展,物联网安全也越来越受到关注。自 2016 年下半年的 Mirai 僵尸网络攻击 事件之后,物联网相关的威胁层出不穷,多个在野漏洞被攻击者所利用,多个僵尸网络相继被研究人员 发现。今年,绿盟科技和国家互联网应急心(CNCERT)联合发布了物联网安全年报,旨在让大家对 2020 年物联网相关的安全事件、资产、脆弱性和威胁情况有一个全面的认识。报告的主要内容如下:第一章对 2020 年出现重大的安全事件。
思科产品曝出高危漏洞,允许黑客远程控制统一通信系统
FreeBuf_的博客
01-29 489
思科在一份公告表示,一旦威胁攻击者成功利用 CVE-2024-20253 安全漏洞,便可以使用网络服务用户的权限在底层操作系统上执行任意命令,通过访问底层操作系统,威胁攻击者还可以在受影响的设备上建立 root 访问权限。The Hacker News 网站消息,思科近期发布了一个新安全补丁,解决了影响统一通信和联络心解决方案产品的关键安全漏洞,该漏洞可能允许未经认证的远程威胁攻击者在受影响的设备上执行任意代码。统一连接(版本 11.5(1)、12.5(1) 和 14),以及。
2022-2023年十大漏洞CVE编号
sunrong1027的博客
03-27 1391
2022-23经典十大漏洞CVE编号
2024年网络安全最全CVE-2024-32532 认证绕过漏洞分析
2401_84281703的博客
05-03 1356
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化资料的朋友,可以点击这里获取。
微软警告:APT29间谍攻击猖狂;思科关键漏洞允许黑客远程接管统一通信系统;Jenkins漏洞远程代码执行攻击| 安全周报0126
weixin_55163056的博客
01-26 1017
微软警告:APT29间谍攻击猖狂;思科关键漏洞允许黑客远程接管统一通信系统;Jenkins漏洞远程代码执行攻击
Fortra 修复FileCatalyst 传输工具严重RCE漏洞
smellycat000的专栏
03-19 440
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Fortra 公司发布了影响文件传输解决方案FileCatalyst 的一个已修复漏洞 (CVE-2024-25153) 详情。该漏洞可导致攻击者获得易受攻击服务器上的远程代码执行 (RCE) 权限。该漏洞的CVSS评分为9.8分。Fortra 公司在上周发布的安全公告提到,“FileCatalyst Workflow Web Portal 的...
思科提醒注意Small Business路由器的XSS漏洞
smellycat000的专栏
04-07 101
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士思科提醒注意 Small Business RV016、RV042、RV042G、RV082和RV325路由器的一个XSS漏洞。该漏洞编号是CVE-2024-20362,位于思科 Small Business RV016、RV042、RV042G、RV082和RV325路由器的 web 管理接口。未认证的远程攻击者可对接口用户实施XSS攻...
我听说你不需要密码?Cisco ASA SNMP RCE漏洞分析利用
SAKAISON的博客
09-05 896
作者:VSRC:Mils 在这个似乎人人都在致力于HAPPY WEEKEND的年代,有什么办法可以让WEEKEND BE MORE HAPPY呢?复(利)现(用)一个漏洞如何?!     此前在Twitter看到: 接着又是 似乎很有趣,那就来试试咯。 免责声明: 本文的一切资料仅供参考,并仅限于实验环境,并不构成任何具体的法律或其他问题。
网络安全漏洞
weixin_48579910的博客
07-03 1152
网络安全漏洞管理是保护信息系统和网络安全的重要环节。通过系统化的漏洞发现、评估、修复和验证流程,结合先进的漏洞管理工具,组织可以有效地识别和消除安全漏洞,提升整体的网络安全水平。持续改进漏洞管理策略和流程,是应对不断变化的安全威胁和风险的关键。网络安全漏洞来源多种多样,涉及软件、硬件、网络协议、配置错误、人为因素等多个方面。了解这些来源有助于更全面地识别和管理网络安全风险。网络安全漏洞的来源广泛,涵盖软件、硬件、网络协议、配置、人为因素、供应链、零日漏洞、环境因素及策略与管理等多个方面。
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1339
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
红队眼主要的安全防御能力怎样突破
maoguan121的博客
10-13 5539
蓝队作为实战攻防演练的攻击方,根据队员的不同攻击能力特 点组织攻击团队。队员们在网络攻击各阶段各司其职,采用适当的攻 击手段和攻击策略对目标系统展开网络攻击,最终获取目标网络和系 统的控制权限和数据,检验目标单位的网络安全防护能力。本部分主要站在蓝队的角度,讲述网络实战攻防演练攻击阶段 的划分、各阶段主要工作内容、攻击主要使用的技术手段以及攻方 人员必备的技能,最后通过多个实战案例对攻击手段进行了直观展 示。
网络安全漏洞简报
m0_56214376的博客
03-12 611
2024年3月网络安全简报
芋道管理后台,基于 vben 最新版本,最新的 vue3 vite4 ant-design-vue 4.0 typescript
10-31
ruoyi-vue-pro-vben 芋道管理后台,基于 vben 最新版本,最新的 vue3 vite4 ant-design-vue 4.0 typescript 语法进行重构开发,支持 springboot3 springcloud 版本
长春工程学院在四川2020-2024各专业最低录取分数及位次表.pdf
10-31
那些年,与你同分同位次的同学都去了哪里?全国各大学在四川2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
yolo算法-自动驾驶道路交通锥数据集-110张图像带标签-蓝黄色automatic-v62ff.zip
10-31
yolo系列算法目标检测数据集,包含标签,可以直接训练模型和验证测试,数据集已经划分好,适用yolov5,yolov8,yolov9,yolov7,yolov10,yolo11算法; 包含两种标签格:yolo格式(txt文件)和voc格式(xml文件),分别保存在两个文件夹; yolo格式:<class> <x_center> <y_center> <width> <height>, 其: <class> 是目标的类别索引(从0开始)。 <x_center> 和 <y_center> 是目标框心点的x和y坐标,这些坐标是相对于图像宽度和高度的比例值,范围在0到1之间。 <width> 和 <height> 是目标框的宽度和高度,也是相对于图像宽度和高度的比例值
基于Java语言开发的fruits_manager_system水果管理系统设计源码
最新发布
11-01
该项目是一个基于Java语言开发的水果管理系统设计源码,包含53个文件,其包括30个Java源文件、13个XML配置文件、6个JAR包文件、1个Git忽略文件、1个属性文件以及1个SQL脚本文件。此系统旨在用于期末答辩展示,展示了开发者对Java编程和系统设计的深入理解。
java回顾、知识整理、拾遗、面试_java-review.zip
10-31
java回顾、知识整理、拾遗、面试_java-review
用struts2,spring,hibernate框架,搭建在线考试系统 网站支持(1)老师创建题库,创建题目,查看题目对题目进
10-31
mysql主从复制用struts2,spring,hibernate框架,搭建在线考试系统。网站支持(1)老师创建题库,创建题目,查看题目对题目进行增删改,发布考试(选择考试难易比例),批改学生试卷,查看学生成绩。(.zip
金蝶云星空RCE漏洞验证脚本发布
综上所述,本压缩包的知识点涵盖了与远程代码执行漏洞相关的多个方面,包括漏洞严重性、用于检测漏洞的脚本、依赖环境的配置、目标服务器地址列表以及相关文档说明。了解和掌握这些知识点有助于IT安全人员进行有效...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值