思科系统为其统一通信管理器(Unified CM)企业电话产品发布了安全补丁,以减轻可能允许黑客可以完全控制系统的攻击。该公司还在其入侵防御系统软件中修补了拒绝服务漏洞。
[也:思科打造万物互联路由器]
思科统一CM是一个呼叫处理组件,它将企业电话功能扩展到IP电话、媒体处理设备、VoIP网关和多媒体应用程序。
6月初,法国一家名为Lexfo的安全咨询公司的研究人员公开展示了一种攻击,该攻击将多个“盲”SQL注入、命令注入和特权升级漏洞串联在一起,以攻击思科统一CM服务器。
演示还显示,所有版本的Cisco Unified CM都使用静态硬编码加密密钥来加密存储在服务器数据库中的敏感数据,包括用户凭证。
初始的盲SQL注入允许未经身份验证的远程攻击者使用硬编码加密密钥获取并解密本地用户帐户。这允许后续的、经过认证的盲SQL注入安全咨询.
该公司表示:“成功利用命令注入和特权升级漏洞,可以让经过身份验证的远程攻击者以更高的特权在底层操作系统上执行任意命令。”
思科以思科期权包(COP)的形式发布了一个安全补丁,名为“cmterm-CSCuh01051-2.cop”。解决了攻击中使用的一些漏洞,包括允许初始盲SQL注入的漏洞。
客户可以从思科的网站上下载该文件,并安装它作为临时解决方案,直到该公司发布新的和打过补丁的统一CM软件版本。
思科表示,COP文件降低了初始攻击向量,并降低了记录在案的攻击表面。然而,在攻击中使用的其他一些漏洞仍然没有修复。
该公司表示,其余漏洞仍在调查中,目前还没有可用的解决方案。
版本7.1。8.5 x。8.6 x。9.0 x。9.1 x和。Cisco Unified CM的x受到公开演示的攻击的影响。版本8.0也受到影响,但不再受支持。建议使用此版本的客户联系思科,以获得升级到支持版本的帮助。
该公司还在调查其其他一些语音产品是否可能受到攻击中使用的一个或多个单个漏洞的影响。这些产品包括思科应急响应器、思科统一呼叫中心Express、思科统一客户语音门户、思科统一在线状态服务器/思科IM和在线状态服务以及思科统一连接。
周三,思科也将出席就几个拒绝服务漏洞向客户提供建议影响部分IPS (Intrusion Prevention System)产品的软件运行。
受其中一个或多个漏洞影响的产品有Cisco ASA 5500-X系列IPS安全服务处理器(IPS SSP)软件和硬件模块;Cisco IPS 4500系列传感器;Cisco IPS 4300系列传感器;Cisco IPS Network Module Enhanced (NME)和Cisco Catalyst 6500系列入侵检测系统(IDSM-2)模块。
除Cisco IDSM-2除外,该公司已发布已打造的Cisco IPS软件的Cisco IPS软件版本。提供了影响Cisco IDSM-2的漏洞的解决方法。