Cisco hat ausserplanmaessige Sicherheitsupdates für Unified Contact Center Express (UCCX) veröffentlicht und zwei kritische Lücken geschlossen: CVE-2025-20354 (CVSS 9.8) ermöglicht Remote Code Execution über Java RMI ohne Anmeldung, CVE-2025-20358 (CVSS 9.4) erlaubt einen Authentifizierungs-Bypass im CCX Editor mit anschliessender Ausführung beliebiger Skripte mit Admin-Rechten. Laut Cisco PSIRT sind zum Veröffentlichungszeitpunkt keine öffentlichen Exploits oder bestätigten Angriffe bekannt, dennoch wird dringendes Patchen empfohlen.
Kritische RCE in Cisco UCCX: Java-RMI-Angriff ohne Authentifizierung
CVE-2025-20354 resultiert aus einer fehlerhaften Authentifizierung im Java Remote Method Invocation (RMI)-Komponentenpfad von UCCX. Angreifer können speziell präparierte Inhalte an den RMI-Dienst senden und so Kommandos mit root-Rechten auf dem Host ausführen. RCE in Kombination mit maximalen Privilegien ist in Sprach- und Contact-Center-Umgebungen besonders kritisch, da bereits kurze Ausfälle Geschäftsfunktionen erheblich beeinträchtigen.
Risiko und potenzielle Auswirkungen auf Contact Center
UCCX wird häufig als „Contact Center in a box“ mit bis zu 400 Agenten pro Standort betrieben. Eine Kompromittierung kann Routing-Logik, Anrufskripte und Kundendaten gefährden, SLA-Verstösse provozieren und als Ausgangspunkt für laterale Bewegungen im Netzwerk dienen. Offene oder unzureichend abgesicherte RMI-Endpunkte sind in der Praxis wiederholt eine Einstiegstür für Privilegieneskalation – Netzwerksegmentierung, strikte Zugriffskontrollen und zeitnahe Patches sind hier entscheidend.
CCX Editor im Fokus: Authentifizierungs-Bypass mit Admin-Rechten
CVE-2025-20358 betrifft den CCX Editor und ermöglicht es, den Anmelde-Check zu umgehen, indem der Authentifizierungsfluss auf einen vom Angreifer kontrollierten Pfad gelenkt wird. In der Folge können Skripte mit Administratorrechten erstellt und ausgeführt werden. Damit lassen sich Call-Flows manipulieren, persistente Zugänge schaffen und weitere Systeme im Sprach-Ökosystem gefährden.
Weitere Fixes: Cisco ISE-DoS und zusätzliche Contact-Center-CVEs
Zusätzlich adressiert Cisco eine Schwachstelle in Identity Services Engine (ISE) mit der Kennung CVE-2025-20343, die zu Denial of Service und potenziellen Neustarts verwundbarer Geräte führen kann. Ergänzend wurden vier weitere Lücken in Contact-Center-Produkten geschlossen (CVE-2025-20374, CVE-2025-20375, CVE-2025-20376, CVE-2025-20377). Bei vorhandenen erhöhten Rechten sind darüber Privilegieneskalation bis root, Kommandoausführung, Lesen sensibler Daten und Datei-Uploads möglich, was die Folgen einer Erstkompromittierung erheblich verschärft.
Patches, Mitigations und empfohlene Sicherheitskontrollen
Cisco empfiehlt das sofortige Update auf UCCX 12.5 SU3 ES07 bzw. UCCX 15.0 ES01. Bis zur Aktualisierung sollten kompensierende Massnahmen greifen: Beschränken Sie den Zugriff auf Java-RMI- und Admin-Schnittstellen strikt nach dem Least-Privilege-Prinzip, erlauben Sie nur Management-Segmente und setzen Sie gezielte ACLs/Firewall-Regeln (inkl. RMI-Registry-Ports, z. B. 1099) um.
Aktivieren Sie detailliertes Logging und korrelieren Sie Ereignisse in SIEM/SOC, insbesondere fehlgeschlagene/ungewöhnliche Logins, Änderungen an CCX-Skripten und auffällige Prozessstarts. Validieren Sie regelmässig die Integrität der CCX-Editor-Skripte (Versionierung, Signierung, Vier-Augen-Prinzip) und prüfen Sie Expositionen per regelmässiger Asset-Inventur und Konfigurations-Audits. Netzwerksegmentierung und strikte Trennung von Sprach-, Management- und Benutzerzonen reduzieren die Bewegungsfreiheit von Angreifern signifikant.
Bewährte Praxis ist ein staged Patch-Management mit Tests in Staging-Umgebungen, gefolgt von beschleunigter Produktions-Rollout, sowie Härtung von Admin-Zugängen (MFA, Jump-Hosts, RBAC). Cisco PSIRT-Hinweise und CVE-/CVSS-Daten (z. B. NVD) sollten zeitnah bewertet und in die eigene Risiko- und Wartungs-Agenda integriert werden.
Organisationen, die UCCX betreiben, sollten die bereitgestellten Patches umgehend einspielen, kompensierende Netzwerkkontrollen aktivieren und Überwachungsregeln schärfen. Je kürzer das Verwundbarkeitsfenster, desto geringer das Risiko erfolgreicher Angriffe und der daraus resultierenden Betriebs-, Finanz- und Reputationsschäden. Jetzt handeln, Patch-Prozesse für Sprachinfrastrukturen modernisieren und die Sichtbarkeit über exponierte Dienste kontinuierlich verbessern.
