هشدار امنیتی: آسیبپذیریهای بحرانی در Cisco Unified Contact Center Express امکان اجرای کد مخرب را برای مهاجمان فراهم میکند
Cisco Systems اخیراً دو آسیبپذیری بسیار خطرناک در محصول Cisco Unified Contact Center Express (UCCX) را افشا کرده است که به مهاجمان اجازه میدهد بدون نیاز به احراز هویت از راه دور، کنترل کامل سیستمهای آسیبپذیر را در دست بگیرند. این نقصها بهدلیل نقش حیاتی سیستمهای مراکز تماس در عملیات تجاری و دادههای حساس مشتریان، اهمیت ویژهای دارند.
جزئیات فنی آسیبپذیریها
دو آسیبپذیری اصلی شناساییشده عبارتاند از:
CVE-2025-20354 – آسیبپذیری اجرای کد از راه دور (RCE)
-
امتیاز CVSS: 9.8 (بیشترین سطح بحرانی)
-
محل نقص: در فرایند Java Remote Method Invocation (RMI) در Cisco Unified CCX
-
ماهیت مشکل: به دلیل نقص در مکانیزمهای احراز هویت، مهاجم میتواند با بارگذاری فایلهای دستکاریشده از طریق RMI، دستورات دلخواه را با دسترسی root روی سیستم اجرا کند.
-
خطر: اجرای کامل کد و ارتقای سطح دسترسی تا سطح مدیریتی (root) بدون نیاز به نام کاربری یا رمز عبور.
CVE-2025-20358 – آسیبپذیری عبور از احراز هویت (Authentication Bypass)
-
امتیاز CVSS: 9.4
-
تأثیر: مهاجم میتواند جریان احراز هویت را به سرور جعلی هدایت کند تا سیستم به اشتباه گمان کند ورود با موفقیت انجام شده است.
-
نتیجه: دسترسی به محیط ویرایش اسکریپتها در سطح مدیریتی و اجرای دستورات در سیستم عامل میزبان.
Cisco تأکید کرده است که بهرهبرداری از یکی از این نقصها، برای سوءاستفاده از دیگری الزامی نیست.
چرا این آسیبپذیریها اهمیت دارند؟
سیستمهای مرکز تماس مانند Unified CCX بخشی حیاتی از ارتباطات سازمانیاند و معمولاً با پایگاههای داده مشتریان، CRM، ایمیلها، چت و تلفن یکپارچه هستند. نفوذ در چنین سیستمی به مهاجم امکان میدهد:
-
دسترسی به اطلاعات حساس مشتریان یا دادههای مالی؛
-
تغییر جریان تماسها و تزریق اسکریپتهای مخرب؛
-
گسترش نفوذ به سایر بخشهای شبکه سازمان؛
-
اجرای باجافزار یا نصب درِ پشتی (Backdoor) برای کنترل بلندمدت سیستم.
بهطور خاص، CVE-2025-20354 با اعطای دسترسی سطح root و CVE-2025-20358 با عبور از احراز هویت، زنجیرهای کامل از نفوذ را فراهم میکنند — از ورود اولیه تا کنترل کامل.
ریسک و تأثیر بر سازمانها
-
دامنهی حمله وسیع: رابطهای RMI و CCX Editor در صورت در دسترس بودن از اینترنت، هدفی آسان برای مهاجمان خواهند بود.
-
دادههای حساس: این سامانهها اطلاعات محرمانه کاربران را مدیریت میکنند و نقض آن میتواند منجر به جریمههای قانونی شود.
-
اختلال عملیاتی: نفوذگر میتواند سیستم تماس را از کار بیندازد، جریان تماسها را تغییر دهد یا دادهها را حذف کند.
-
سرعت بهرهبرداری: به دلیل سادگی حمله، انتشار کد اثبات مفهوم (PoC) میتواند منجر به حملات سریع و گسترده شود.
راهکارها و اقدامات فوری برای مدیران IT
-
بهروزرسانی فوری سیستمها:
-
برای نسخه 12.5 SU3 و پایینتر → ارتقا به 12.5 SU3 ES07
-
برای نسخه 15.0 → ارتقا به 15.0 ES01
-
-
جداسازی شبکه و محدودسازی دسترسی:
-
اطمینان از اینکه سرویسهای RMI و CCX Editor از شبکههای عمومی یا غیرمجاز قابل دسترسی نیستند.
-
-
ممیزی امنیتی و پایش مداوم:
-
بررسی فایللاگها برای بارگذاریهای غیرمنتظره، ایجاد اسکریپتهای مشکوک و فعالیتهای مدیریتی ناشناس.
-
-
آمادگی واکنش به حادثه (IR):
-
تهیه نسخه پشتیبان، طرح بازیابی، و آمادهسازی تیم امنیتی برای پاسخ سریع به نفوذ احتمالی.
-
-
رصد تهدیدات و PoCها:
-
تیم امنیتی باید فعالانه گزارشهای جدید از Cisco و منابع تهدید را پیگیری کند.
-
تحلیل و دیدگاه RootNet
این دو آسیبپذیری جدید بار دیگر ضعفهای ساختاری در محصولات Cisco را برجسته میکنند. در سال ۲۰۲۵، چندین آسیبپذیری در محصولات دیگر این شرکت مانند Cisco ISE و Cisco Firewalls نیز افشا شدهاند که بعضاً در حملات فعال مورد سوءاستفاده قرار گرفتهاند.
واقعیت این است که بسیاری از سامانههای ارتباطی سازمانی همچنان از مؤلفههای قدیمی مانند Java RMI استفاده میکنند که برای محیطهای بسته طراحی شده بودند. در دنیای متصل امروزی، این فناوریها نقاط ورودی جذابی برای مهاجمان بهشمار میآیند.
نتیجهگیری
آسیبپذیریهای CVE-2025-20354 و CVE-2025-20358 زنگ خطری جدی برای سازمانهایی است که از سیستمهای تماس Cisco استفاده میکنند.
ترکیب دسترسی بدون احراز هویت، اجرای کد از راه دور و سطح دسترسی مدیریتی، این نقصها را به تهدیدی بحرانی برای زیرساختهای سازمانی تبدیل کرده است.
توصیه RootNet: بهروزرسانی فوری، محدودسازی دسترسی، و فعالسازی سیستمهای پایش امنیتی برای جلوگیری از نفوذ الزامی است.
دیدگاه ها بسته هستند