Cisco ha publicado en su último boletín de seguridad la existencia de múltiples vulnerabilidades y fallos de seguridad en su Cisco Unified Communications Manager que permiten a un atacante remoto tomar el control de los sistemas afectados.
Cisco Unified Communications Manager (Unified CM) contains multiple vulnerabilities that could be used together to allow an unauthenticated, remote attacker to gather user credentials, escalate privileges, and execute commands to gain full control of the vulnerable system. A successful attack could allow an unauthenticated attacker to access, create or modify information in Cisco Unified CM.
El pasado 6 de Junio, una empresa de seguridad francesa hizo público un informe sobre seguridad VoIP que incluía una demostración sobre varias maneras de atacar un sistema Cisco Unified Comunication Manager aprovechando vulnerabilidades no solucionadas.
Las versiones afectadas son desde la 7.1 hasta la 9.1, así como los distintos productos:
- Cisco Emergency Responder
- Cisco Unified Contact Center Express
- Cisco Unified Customer Voice Portal
- Cisco Unified Presence Server/Cisco IM and Presence Service
- Cisco Unity Connection
Más información sobre estas vulnerabilidades las podéis encontrar en Hispasec y en el mensaje oficial de Cisco.