Cisco выпустила внеплановые исправления для Unified Contact Center Express (UCCX), закрыв ряд серьезных проблем безопасности, включая две критические: CVE-2025-20354 (CVSS 9.8) и CVE-2025-20358 (CVSS 9.4). Первая позволяет удаленно выполнять команды с правами root через Java RMI без аутентификации, вторая — обходить аутентификацию в CCX Editor и запускать произвольные скрипты с административными правами. По данным Cisco PSIRT, публичных эксплойтов и подтвержденных атак на момент публикации не выявлено, однако риск признан высоким и требует немедленного обновления.
Критическая уязвимость в Cisco UCCX: RCE через Java RMI
Уязвимость CVE-2025-20354, обнаруженная исследователем Джамелом Харрисом (Jahmel Harris), связана с некорректной реализацией аутентификации в компоненте Java Remote Method Invocation (RMI) Unified CCX. Злоумышленник мог удаленно передать специально подготовленный файл и добиться исполнения произвольных команд на хосте с правами root. Такая комбинация — удаленное выполнение кода (RCE) и максимальные привилегии — критична для голосовых платформ и контакт-центров, где простои напрямую влияют на бизнес-процессы.
Оценка риска и масштаб воздействия
UCCX позиционируется как «контакт-центр в коробке» и поддерживает до 400 агентов на площадку. Это делает систему привлекательной целью: компрометация может привести к перехвату сценариев маршрутизации вызовов, доступу к конфиденциальным данным клиентов и нарушению SLA. Практика показывает, что RMI-экспозиция без строгой аутентификации нередко становится точкой входа для эскалации привилегий и последующего горизонтального перемещения в сети. Сегментация, ограничение сетевого доступа к управляющим интерфейсам и оперативные обновления — ключевые меры снижения риска.
Второй критический дефект в CCX Editor: обход аутентификации
Уязвимость CVE-2025-20358 затрагивает Contact Center Express (CCX) Editor и позволяет неавторизованному злоумышленнику обмануть механизм проверки, вынудив редактор считать процедуру входа успешной и перенаправив поток аутентификации на контролируемый ресурс. В результате возможно создание и выполнение произвольных скриптов с правами администратора, что открывает путь к модификации логики обработки вызовов и дальнейшему закреплению в инфраструктуре.
Дополнительные исправления: Cisco ISE и другие CVE в Contact Center
Cisco также закрыла уязвимость CVE-2025-20343 в Identity Services Engine (ISE), эксплуатация которой приводит к отказу в обслуживании и потенциальным перезагрузкам уязвимых устройств. Параллельно сообщается о четырех дополнительных проблемах в продуктах Contact Center — CVE-2025-20374, CVE-2025-20375, CVE-2025-20376 и CVE-2025-20377. При наличии повышенных привилегий они могут позволить дальнейшее повышение прав до уровня root, выполнение команд, чтение конфиденциальных данных и загрузку файлов, что усугубляет последствия изначального компрометационного события.
Рекомендации по защите и операционные шаги
Cisco настоятельно рекомендует немедленно обновить версии UCCX: для ветки 12.5 SU3 — 12.5 SU3 ES07, для ветки 15.0 — 15.0 ES01. До установки патчей примените компенсирующие меры: ограничьте доступ к Java RMI и административным интерфейсам по принципу наименьших привилегий, используйте сетевые ACL и сегментацию, включите детализированное логирование и мониторинг аномалий аутентификации, проверяйте целостность скриптов в CCX Editor. Регулярные аудит конфигураций и инвентаризация экспонированных сервисов остаются лучшей практикой для снижения поверхности атаки.
Своевременное обновление контакт-центров критично для непрерывности бизнеса и защиты данных клиентов. Организациям стоит выстроить процедуру быстрой оценки бюллетеней безопасности Cisco PSIRT, автоматизировать развёртывание исправлений в тестовых и боевых средах и обучить команды реагированию на инциденты, затрагивающие голосовую инфраструктуру. Чем короче окно уязвимости, тем ниже вероятность успешной атаки и связанных с ней финансовых и репутационных потерь.
