Cisco випустила позапланові оновлення для Unified Contact Center Express (UCCX), усунувши низку серйозних дефектів, серед яких дві критичні уразливості: CVE-2025-20354 (CVSS 9.8) та CVE-2025-20358 (CVSS 9.4). За повідомленням Cisco PSIRT, публічно доступних експлойтів і підтверджених атак на момент релізу не виявлено, однак ризик оцінюється як високий і потребує негайного оновлення.
CVE-2025-20354: RCE у Cisco UCCX через Java RMI з правами root
Уразливість CVE-2025-20354 спричинена помилками в перевірці автентичності компонента Java Remote Method Invocation (RMI) у Unified CCX. Зловмисник може надіслати спеціально сформований об’єкт/файл через RMI та віддалено виконати довільні команди з привілеями root без автентифікації. Поєднання RCE та максимальних прав є критичним для голосових платформ, оскільки ставить під загрозу безперервність обслуговування клієнтів і цілісність бізнес-процесів.
Ризики для контакт-центрів і можливі сценарії атаки
UCCX позиціонується як «контакт-центр із коробки» та підтримує до 400 агентів на майданчик, що робить його привабливою ціллю. У разі компрометації можливі перехоплення та модифікація сценаріїв маршрутизації викликів, доступ до чутливих даних клієнтів, зриви SLA та подальший lateral movement у мережі. Історично відкриті або слабо захищені інтерфейси RMI часто використовуються як стартова точка для ескалації привілеїв і закріплення у середовищі. Обмеження мережевої доступності RMI, сегментація та принцип найменших привілеїв — базові засоби зниження ризику.
CVE-2025-20358: обхід автентифікації в CCX Editor і виконання скриптів
Уразливість CVE-2025-20358 стосується Contact Center Express (CCX) Editor і дозволяє неавторизованому зловмиснику маніпулювати потоком автентифікації так, щоб редактор помилково вважав вхід успішним. Як наслідок, можливе створення та виконання довільних сценаріїв із адміністративними правами. Це відкриває шлях до зміни логіки обробки викликів, прихованого моніторингу та довготривалого закріплення в інфраструктурі контакт-центру.
Додаткові виправлення: Cisco ISE та інші CVE в продуктах Contact Center
Паралельно Cisco усунула уразливість CVE-2025-20343 в Identity Services Engine (ISE), експлуатація якої може призводити до відмови в обслуговуванні і перезавантажень уразливих пристроїв. Також повідомляється про чотири дефекти в продуктах Contact Center — CVE-2025-20374, CVE-2025-20375, CVE-2025-20376 і CVE-2025-20377. За наявності підвищених прав вони здатні спричинити подальшу ескалацію привілеїв до root, виконання команд, зчитування конфіденційних даних і завантаження файлів, посилюючи наслідки початкового інциденту.
Негайні дії: оновлення версій і компенсуючі контролі
Cisco рекомендує оновитися до UCCX 12.5 SU3 ES07 для гілки 12.5 та UCCX 15.0 ES01 для гілки 15.0. До розгортання патчів застосуйте компенсуючі заходи: заблокуйте доступ до Java RMI і адміністративних інтерфейсів із зовнішніх сегментів, використовуйте ACL і мережеву сегментацію, вмикайте детальне журнальювання та моніторинг аномалій автентифікації, контролюйте цілісність сценаріїв у CCX Editor. Регулярний аудит конфігурацій та інвентаризація опублікованих сервісів зменшують площу атаки та пришвидшують виявлення відхилень.
Операційні практики для мінімізації вікна уразливості
Вибудуйте процес швидкої оцінки бюлетенів Cisco PSIRT, підготуйте стенд для перевірки патчів, автоматизуйте розгортання в тестових і бойових середовищах, забезпечте резервні копії конфігурацій та контроль відкату. Інтегруйте перевірку доступності RMI/адмін-інтерфейсів у сканування зовнішнього периметра, а також корелюйте журнали аутентифікації з SIEM для раннього виявлення підозрілої активності.
Своєчасне оновлення платформ контакт-центру є критичним для безперервності обслуговування та довіри клієнтів. Скорочення «вікна уразливості», ізоляція керувальних інтерфейсів і дисципліна керування змінами суттєво знижують імовірність успішної атаки й пов’язаних фінансових та репутаційних втрат. Перевірте версії UCCX у продакшені, сплануйте апгрейд у найближче вікно змін і зафіксуйте компенсуючі контролі в стандартних операційних процедурах.
