Nel suo portafoglio di soluzioni alle imprese, Cisco presenta due prodotti per supportare i servizi di assistenza al cliente. Si tratta di Unified Contact Center Enterprise (UCCE) e Cisco Unified Contact Center Express (UCCX).
UCCE è una applicazione di gestione di livello enterprise basata su tecnologie web utilizzabile da amministratori, utenti e supervisori di un “contact center”, insomma l’assistenza ai clienti. UCCX è la corrispondente per realtà più piccole.
Naturalmente si tratta di strumenti complessi, che vanno dalla gestione degli operatori, alle chiamate (in ingresso e uscita), sondaggi e business intelligence. In particolare UCCE è adottato da attori effettivamente “molto grandi”.
Con la vulnerabilità CVE-2022-20658 viene reso pubblico un problema per entrambi i prodotti, ed in particolare (nel solo caso si UCCE che è una suite) la applicazione Cisco Unified Contact Center Management Portal (CCMP), l’insieme delle componenti server per la gestione back-end, inclusa l'autenticazione e altre funzioni di sicurezza nonché la gestione delle risorse coinvolte (da personale ai contatti) e le azioni intraprese (come chiamate telefoniche).
Il bug ha una valutazione critica di 9.6 e potrebbe consentire ad aggressori remoti e autenticati di elevare i propri privilegi ad amministratore, con la possibilità di creare altri account amministratore. Naturalmente a seguire gli aggressori potrebbero modificare le risorse degli operatori, le code telefoniche, interagire con altre componenti dell’ecosistema e, cosa peggiore, accedere alle informazioni personali sui clienti gestiti dalle aziende mediante questi strumenti. Insomma, portare confusione in un reparto che dovrebbe dirimere i problemi, e non trovarseli a casa, con una conseguente caduta di credibilità del marchio per cui sta operando.
Il problema deriva dal fatto che il server si basa su meccanismi di autenticazione gestiti dal lato client. Ciò apre la porta a un utente malintenzionato che può modificare il comportamento lato client per aggirare i meccanismi di protezione. Si tratta della classica mancanza di convalida lato server delle autorizzazioni utente, così come ci spiega Cisco nell’avviso di sicurezza da cui nasce la pubblicazione del problema. Un utente malintenzionato deve solo inviare una richiesta HTTP ben costruita per indurre un sistema vulnerabile a cadere nella trappola (sfruttando la debolezza software CWE-602) per poi agire come indicato (che è uno sfruttamento della debolezza software CWE-669): ovviamente questo è il punto problematico del bug. Perché sia sfruttabile occorre che un aggressore disponga precedentemente di credenziali di utente avanzato sulla piattaforma: occorre dunque una fase che preceda questo sfruttamento che consegni un accesso all’attaccante (es. phishing?).
Il problema è presente nelle versioni 12.0.1 e 12.5.1 di UCCX e tutte le versioni fino alla 11.6.1 di CCMP di UCCX, ma Cisco ha già predisposto dei correttivi.
Il vantaggio tattico per la difesa, in questo momento, è che non esistono sfruttamenti noti pubblicamente, e potrebbe esserci così tutto il tempo di correggere tutte le piattaforme.