บริษัท Cisco ได้ประกาศแก้ไขข้อบกพร่องด้านความปลอดภัยที่สำคัญของ Unity Connection ซึ่งสามารถให้ผู้โจมตีที่ไม่ได้รับการรับรองยืนยันตัวตนที่ถูกต้องได้รับสิทธิ์รูทบนอุปกรณ์ที่ไม่ได้รับการอัพแพทจากระยะไกล
Unity Connection เป็นโซลูชันการส่งข้อความและวอยซ์เมลเสมือนจริงเต็มรูปแบบสำหรับกล่องจดหมายอีเมล เว็บเบราว์เซอร์ Cisco Jabber, Cisco Unified IP Phone สมาร์ทโฟน หรือแท็บเล็ต
การพบช่องโหว่ (CVE-2024-20272) เกิดขึ้นที่อินเทอร์เฟซการจัดการบนเว็บของซอฟต์แวร์ และมันยังช่่วยให้ผู้โจมตีสามารถรันคำสั่ง (command) บนระบบปฏิบัติการพื้นฐานได้โดยการอัปโหลดไฟล์ที่กำหนดเองไปยังเป้าหมายที่ระบบมีช่องโหว่อยู่
ทางด้าน Cisco ได้มีการอธิบายไว้ว่า ช่องโหว่นี้เกิดจากการขาดการตรวจสอบสิทธิ์ใน API ที่เฉพาะเจาะจงและการตรวจสอบข้อมูลที่ผู้ใช้ให้มาอย่างไม่เหมาะสม ผู้โจมตีจึงสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยวิธีการอัปโหลดไฟล์ที่ทำขึ้นมาเองไปยังระบบที่ได้รับผลกระทบ
หากโจมตีไปที่ช่องโหว่ประสบความสำเร็จอาจทำให้ผู้โจมตีสามารถจัดเก็บไฟล์ที่เป็นอันตรายไว้บนระบบและรันคำสั่งตามใจตนเองบนระบบปฏิบัติการ และยังสามารถยกระดับสิทธิ์ตนเองให้เป็นรูทได้อีกด้วย
ทีมตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของผลิตภัณฑ์ (PSIRT) ของ Cisco กล่าวว่าบริษัทยังไม่มีวิธีการพิสูจน์การโจมตี (POC) หรือเปิดเผยต่อสาธารณะและยังไม่พบการหาประโยชน์จากช่องโหว่นี้
แพทช์ของ Unity Connection Release
เวอร์ชั่น 12.5 and earlier อัพเป็น 12.5.1.19017-4
เวอร์ชั่น 14 อัพเป็น 14.0.1.14006-5
เวอร์ชั่น 15 ไม่พบช่องโหว่
Ref Fixed Release. Cisco Security Advisory: Cisco Unity Connection Unauthenticated Arbitrary File Upload Vulnerability
Ref news.Cisco says critical Unity Connection bug lets attackers get root
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว