思科系统公司发布了其统一通信管理器(统一CM)企业电话产品一个安全补丁,以减轻攻击可能允许黑客采取系统的完全控制。该公司还补丁拒绝服务漏洞,在其入侵防御系统软件。
[也:思科建立的一切路由器的互联网]
思科统一CM是将企业电话特性和功能的IP电话呼叫处理组件,媒体处理设备,VoIP网关和多媒体应用中,根据思科。
在六月初,从名为Lexfo法国安全顾问公司的研究人员公开展示了该链接在一起的多个“盲” SQL注入,命令注入和特权提升漏洞,以危及思科统一CM服务器的攻击。
该演示还透露,思科统一CM的所有版本中使用静态硬编码加密密钥来加密存储在服务器的数据库中的敏感数据,包括用户凭据。
“最初的盲SQL注入允许未经认证的远程攻击者使用硬编码的加密密钥,以获得和解密本地用户帐户。这允许随后的,经认证的盲SQL注入,”思科周三表示在安全咨询。
“指令喷射和权限提升成功利用漏洞可能允许验证,远程攻击者以高特权底层操作系统上执行任意指令,”公司说。
思科已经发布了一个安全补丁中被称为“cmterm-CSCuh01051-2.cop.sgn”思科选项包(COP)的形式地址一些在袭击中使用的漏洞,其中包括一个允许初始盲目SQL注入。
客户可以从思科的网站上下载文件,并直至公司发布统一CM软件的新版本补丁安装作为临时解决方案。
该COP文件减轻了初始攻击向量,并降低记录的攻击面,思科表示。然而,在攻击中使用的一些其他漏洞未修补保留。
其余的漏洞仍在研究中,没有解决方法是为他们提供的是,该公司表示。
版本7.1.x,8.5.x的,8.6.x或,9.0.x和思科统一CM的9.1.x被公开演示攻击的影响。8.0版也受到影响,但不再支持。使用此版本的客户应联系思科提供援助,升级到支持的版本。
该公司也正在调查它的一些其他的语音产品是由一个或多个在袭击中使用的各个漏洞影响的可能性。这些产品是思科紧急响应,思科统一联络中心快递,思科统一客户语音门户,思科统一显示服务器/思科IM和状态服务和Cisco Unity连接。
上周三,思科还约几个建议客户拒绝服务漏洞影响它的一些入侵防御系统(IPS)产品上运行的软件。
产品影响由一个或几个这些漏洞是思科ASA 5500-X系列IPS安全服务处理器(IPS SSP)的软件和硬件模块;思科IPS 4500个系列传感器;思科IPS 4300个系列传感器;思科IPS网络模块增强(NME)和Cisco Catalyst 6500系列入侵检测系统(IDSM-2)模块。
该公司已经发布了Cisco IPS软件的修补版本这些产品,除了思科IDSM-2。一种解决方法影响思科IDSM-2提供的漏洞。