تهدید خدمات مشتری سیسکو با اشکال بحرانی در مرکز ارتباطات سیسکو
مهاجمان میتوانند به منابع ایجنت، صف تلفن مشتریان و سایر سیستمهای خدمات مشتری دسترسی داشته باشند و آنها را تغییر دهند و همچنین به اطلاعات شخصی مشتریان شرکتها دسترسی داشته باشند.
یک باگ امنیتی حیاتی که بر پورتفولیوی Unified Contact Center Enterprise (UCCE) سیسکو تأثیر میگذارد، میتواند امکان افزایش اختیارات و تصاحب پلتفرم را فراهم کند.
اساساً Cisco UCCE یک پلتفرم خدمات مشتری داخلی است که قادر به پشتیبانی از ۲۴۰۰۰ ایجنت خدمات مشتری با استفاده از کانالهایی است که شامل صدای ورودی، صدای خروجی، پاسخ صوتی تعاملی خروجی (IVR) و کانالهای دیجیتال میشود. همچنین یک لوپ ارسال بازخورد از طریق تلفن گویای پس از تماس، ایمیل و نظرسنجی رهگیری وب را ارائه میدهد. و گزینههای گزارش دهی مختلف برای جمعآوری اطلاعات در مورد عملکرد ایجنت برای استفاده در ایجاد معیارها و اطلاعرسانی هوش تجاری را در خود جای داده است.
بر اساس گزارش وب سایت محصولات، برخی از کاربران این محصول از جمله T-Mobile USA در میان این کاربران قرار گرفتهاند.
باگ مورد بحث (CVE-۲۰۲۲-۲۰۶۵۸) بسیار شدید بوده و با امتیاز بحرانی 9.6 از 10 در مقیاس شدت آسیبپذیری CVSS، میتواند به مهاجمان احراز هویت شده و از راه دور اجازه دهد تا اختیارات خود را با توانایی ایجاد حساب جدید ادمین، افزایش دهند.
این به طور خاص در اینترفیس مدیریت مبتنی بر وب پورتال مدیریت مرکز تماس واحد Cisco (Unified CCMP) و Cisco Unified Contact Center Domain Manager (Unified CCDM) وجود دارد و از این اصل ناشی میشود که سرور به مکانیزمهای احراز هویت که توسط کلاینت اداره میشود، تکیه میکند. این مسأله در را به روی مهاجمی باز میکند تا رفتار سمت کلاینت را برای دور زدن مکانیسمهای حفاظتی دنبال کند.
مشخصاً CCMP یک ابزار مدیریتی است که به سوپروایزر مرکز تماس این امکان را میدهد تا عواملی را که در مناطق مختلف مرکز تماس کار میکنند، بین صفهای تماس، مارکها، خطوط محصول و موارد دیگر جابجا کنند، اضافه کنند و تغییر دهند. CCDM مجموعهای از اجزای سرور برای مدیریت پشتیبان (back-end)، از جمله احراز هویت و سایر عملکردهای امنیتی، تخصیص منابع و پایگاه دادهای است که اطلاعات مربوط به همه منابع (مانند ایجنتها و شمارههای شمارهگیری شده) و اقدامات انجام شده (مانند تماسهای تلفنی و تغییر وضعیت ایجنت) را در سیستم در خود نگه میدارد.
سیسکو هشدار داد که با داشتن حسابهای ادمین اضافی، مهاجمان میتوانند به منابع تلفن و کاربر در تمام پلتفرمهایی که به سیسکو Unified CCMP که آسیبپذیر است، مرتبط هستند دسترسی پیدا کرده و آنها را تغییر دهند. میتوان این را بدون ذکر آسیبی که میتوان با دسترسی به مجموعه دادههای اطلاعات شخصی مشتریان، از جمله ارتباطات تلفنی و ایمیلی که سیستم باید در اختیار شرکتها قرار دهد، وارد آورد، به تخریب عملیاتی و هویت برندی را که مهاجم میتواند با تخریب کردن سیستمهای خدمات مشتری یک شرکت بزرگ ایجاد کند را تعبیر کرد.
استفاده از آن نیز سخت نیست: سیسکو در توصیه نامه امنیتی در این هفته توضیح داد: «این آسیبپذیری به دلیل عدم اعتبارسنجی سمت سرور مجوزهای یوزر است. یک مهاجم میتواند با ارسال یک درخواست HTTP دستکاری شده به یک سیستم آسیبپذیر از این آسیبپذیری سواستفاده کند».
با این حال، برای بهرهبرداری موفقیتآمیز از آسیبپذیری، مهاجمان به اعتبارنامههای معتبر «advanced user» نیاز دارند، بنابراین این اشکال برای دسترسی اولیه باید با آسیبپذیری دیگر مرتبط و متصل شود.
پچهایی برای این مشکل وجود دارد، اما راه حل اساسی این مشکل نیستند. اطلاعات پچ به شرح زیر است:
نسخه های 11.6.1 و نسخه های قبلی: نسخه ثابت 11.6.1 ES17 است.
نسخه 12.0.1: نسخه ثابت 12.0.1 ES5 است.
نسخه 12.5.1: نسخه ثابت 12.5.1 ES5 است.
نسخه 12.6.1: تحت تأثیر قرار نمی گیرد.
به گفته این غول شبکه، تاکنون هیچ سواستفاده عمومی شناخته شدهای از این آسیبپذیری مشاهده نشده است.
راهحلهای مرکز تماس سیسکو قبلاً با اشکالات مهمی روبرو بوده است. به عنوان مثال، در سال ۲۰۲۰ یک اشکال مهم در پلتفرم «مرکز تماس in-a-box»، Unified Contact Center Express، یافت شد که امکان اجرای کد از راه دور را فراهم میکرد.