Sicherheitsupdates: Admin-LĂĽcke bedroht Cisco Unified Contact Manager
Admins von Cisco-Hard- und -Software sind gefragt, ihre Systeme abzusichern.
Angreifer könnten Call-Center, die auf Cisco Unified Contact Center Management Portal (Unified CCMP) und Unified Contact Center Domain Manager (Unified CCDM) setzen, attackieren. Weiterhin gibt es noch Sicherheitsupdates für unter anderem Enterprise Chat und Prime Access Registrar Appliance.
Angreifer als Admin
Die Lücke (CVE-2022-20658) in Unified CCMP und Unified CCDM ist als "kritisch" eingestuft. In einer Warnmeldung führt Cisco mögliche Attacken aus: Verfügen Angreifer über erweiterte Benutzeranmeldeinformationen, könnten sie an der Schwachstelle im Web-basierten Management-Interface ansetzen. Da es keine serverseitige Validierung von Benutzerrechten gibt, kann eine präparierte HTTP-Anfrage Fehler auslösen.
Klappt alles, sollen Angreifer Admin-Accounts anlegen und darüber unter anderem Telefon-Ressourcen modifizieren können. Dem Netzwerkausrüster zufolge ist die Version 12.6.1 davon nicht betroffen. Die Ausgaben 11.6.1 ES17, 12.0.1 ES5 und 12.5.1 ES5 sind gegen solche Attacken abgesichert.
Information Disclousre
Die verbleibenden Lücken sind mit dem Bedrohungsgrad "mittel" eingestuft. Nach erfolgreichen Attacken könnten Angreifer etwa XSS-Attacken auf Prime Infrastructure ausüben oder Informationen von Adaptive Security Device Manager leaken lassen.
In den unterhalb dieser Meldung verlinkten Warnmeldungen finden Admins mehr Informationen zu den LĂĽcken und Sicherheitsupdates.
Liste nach Bedrohungsgrad absteigend sortiert:
- Unified Contact Center Management Portal and Unified Contact Center Domain Manager Privilege Escalation
- Tetration Command Injection
- Prime Infrastructure and Evolved Programmable Network Manager
- Secure Network Analytics Cross-Site Scripting
- Enterprise Chat and Email
- Security Manager Cross-Site Scripting
- Adaptive Security Device Manager Information Disclosure
- Prime Access Registrar Appliance Cross-Site Scripting
- IP Phones Information Disclosure
(des)