Cette vulnérabilité dans Cisco Unity Connection permet d’obtenir les privilèges « root » !
La solution Cisco Unity Connection est affectée par une nouvelle faille de sécurité particulièrement dangereuse : CVE-2024-20272. En l'exploitant à distance, un attaquant non authentifié peut obtenir un accès "root" sur une machine vulnérable. Voici ce que l'on sait !
D'après le site de Cisco, le produit "Unity Connection" affecté par cette vulnérabilité est un serveur de messagerie vocale que l'on peut utiliser à partir d'une interface web, un smartphone, une tablette, un téléphone Cisco Unified IP Phone, ou encore depuis Cisco Jabber.
La faille de sécurité critique "CVE-2024-20272" a été découverte dans l'interface de gestion web de Cisco Unity Connection. Elle correspond à un problème d'authentification et de validation des données présent dans une API disponible via cette interface web.
Ainsi, un attaquant situé à distance peut exploiter cette vulnérabilité pour charger des fichiers malveillants sur la machine vulnérable, sans avoir besoin de s'authentifier. Autrement dit, il suffit que l'attaquant soit en mesure de communiquer avec l'appareil pour le compromettre et obtenir, au final, un accès root. "Une exploitation réussie pourrait permettre à l'attaquant de stocker des fichiers malveillants sur le système, d'exécuter des commandes arbitraires sur le système d'exploitation et d'élever ses privilèges au niveau de root.", peut-on lire dans le bulletin de sécurité de Cisco.
Pour le moment, d'après Cisco, cette vulnérabilité ne serait pas exploitée par les cybercriminels. Ce qui n'empêche pas de prendre les devants et de se protéger en utilisant une version qui intègre un correctif. Voici un récapitulatif :
Versions de Cisco Unity Connection | Versions avec le correctif |
---|---|
12.5 (et plus ancien) | 12.5.1.19017-4 |
14 | 14.0.1.14006-5 |
15 | Non vulnérable |
Attention si vous utilisez les points d'accès Cisco WAP371
Nous pouvons profiter de cet article pour vous informer sur la faille de sécurité CVE-2024-20287 présente dans l'interface de gestion web des points d'accès Wi-Fi Cisco WAP371. Un code d'exploitation PoC est déjà disponible pour cette vulnérabilité qui permet d'obtenir un accès "root" sur un appareil vulnérable (à condition d'être déjà authentifié pour exploiter la faille de sécurité).
Le problème, c'est que ce produit est en fin de vie depuis juin 2019 : Cisco ne proposera pas de mise à jour du firmware pour vous protéger de cette vulnérabilité. A la place, l'entreprise américaine vous encourage à migrer vers le modèle Cisco Business 240AC.