Cisco opublikowało aktualizacje bezpieczeństwa naprawiające dwie krytyczne luki w rozwiązaniu Unified Contact Center Express (Unified CCX) — kluczowym systemie on-premises wykorzystywanym przez małe i średnie centra obsługi klienta. Obie podatności otrzymały ocenę CVSS 9.8 i mogą prowadzić do pełnego przejęcia środowiska przez zdalnych atakujących.
Na czym polegają podatności?
CVE-2025-20354 — zdalne wykonanie kodu przez RMI (CVSS 9.8)
Pierwsza luka dotyczy procesu Java Remote Method Invocation (RMI) w Unified CCX. Błąd pozwala nieuwierzytelnionemu, zdalnemu atakującemu wykonać dowolne polecenia z uprawnieniami roota, co w praktyce oznacza pełne przejęcie serwera.
Zagrożenie obejmuje scenariusze takie jak:
- uruchamianie złośliwego kodu,
- instalacja backdoorów,
- eskalacja ataku na całą infrastrukturę telekomunikacyjną organizacji.
CVE-2025-20358 — obejście uwierzytelniania w CCX Editor (CVSS 9.8)
Druga luka znajduje się w aplikacji Contact Center Express (CCX) Editor. Pozwala atakującym ominąć mechanizmy logowania i uzyskać uprawnienia administratora skryptów, co daje możliwość modyfikowania logiki przepływów, przechwytywania danych lub manipulowania obsługą zgłoszeń.
Co ważne — eksploity nie muszą być ze sobą łączone, każda z luk może być wykorzystana niezależnie.
Brak obejść, pełna zależność od aktualizacji
Cisco informuje, że:
- nie istnieją żadne obejścia,
- nie zgłoszono jeszcze przypadków aktywnego wykorzystania luk,
ale podatności dotyczą komponentów serwerowych, które często stają się celem automatycznych skanerów i masowych kampanii cyberataków.
Aktualizacje są dostępne w wersjach:
- 12.5 SU3 ES07 lub nowszej,
- 15.0 ES01 lub nowszej.
Wszystkie wcześniejsze wydania są podatne i powinny zostać jak najszybciej zaktualizowane.
Dlaczego luki są tak niebezpieczne?
Unified CCX pełni rolę centralnego systemu obsługi klientów — często integruje się z telefonią, systemami CRM i innymi kluczowymi aplikacjami. Przejęcie serwera kontaktowego:
- umożliwia atakującym dostęp do danych klientów,
- może prowadzić do zakłócenia pracy całego centrum obsługi,
- otwiera drogę do dalszej penetracji infrastruktury.
Ryzyko wzrasta szczególnie w środowiskach, gdzie Unified CCX jest eksponowany w sieciach o słabszej segmentacji.
Rekomendacje dla administratorów
- Niezwłocznie zainstalować dostępne poprawki.
- Sprawdzić integracje i zależne usługi — elementy RMI mogą występować w kilku procesach Unified CCX.
- Monitorować serwery pod kątem nietypowych połączeń i aktywności administratora skryptów.
- Wdrożyć segmentację i ograniczenia sieciowe dla portów wykorzystywanych przez RMI.
Dwie krytyczne luki o identycznej, bardzo wysokiej ocenie CVSS 9.8 stawiają Unified CCX na liście systemów wymagających natychmiastowej interwencji. Brak obejść i możliwość pełnego przejęcia środowiska sprawiają, że aktualizacja jest jedyną skuteczną formą ochrony.
Jeśli potrzebujesz pomocy w analizie ryzyka, weryfikacji konfiguracji lub wdrożeniu aktualizacji — zespół Arkanet służy wsparciem.
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
