思科 (Cisco)於本週密集發布多項安全更新,修補旗下 Unified Contact Center Express (UCCX)、Identity Services Engine (ISE) 以及防火牆產品的重大漏洞。其中 UCCX 存在兩個關鍵漏洞,允許攻擊者在無需身份驗證的情況下取得系統 root 權限。同時,Cisco 也警告先前披露的防火牆漏洞出現新攻擊變種,可能導致設備意外重啟並造成服務中斷。
此波漏洞涵蓋客服系統、身份管理與網路邊界防護等多個關鍵領域,顯示 Cisco 產品正面臨多面向的資安挑戰。雖然目前尚無證據顯示這些新漏洞已遭實際利用,但鑑於 Cisco 設備在企業網路中的核心地位,資安專家呼籲組織應立即評估影響範圍並優先進行修補。
UCCX 爆兩大關鍵漏洞:無認證即可取得 Root 權限
Cisco Unified Contact Center Express 是專為中小型客服中心設計的軟體解決方案,可支援最多 400 席客服人員。本次發現的兩個關鍵漏洞由資安研究員 Jahmel Harris 發現並回報。
第一個漏洞 CVE-2025-20354 的 CVSS 評分高達 9.8 分,存在於 UCCX 的 Java Remote Method Invocation (RMI) 處理程序中。未經身份驗證的遠端攻擊者可透過 Java RMI 程序上傳特製檔案,成功利用後即可在受影響系統上以 root 權限執行任意命令。
Cisco 在安全公告中說明:「此漏洞是由於與特定 Cisco Unified CCX 功能相關的身份驗證機制不當所導致。攻擊者可以利用此漏洞上傳特製檔案到受影響的系統,成功利用後可在底層作業系統上執行任意命令並將權限提升至 root。」
第二個漏洞 CVE-2025-20358 的 CVSS 評分為 9.4 分,影響 UCCX 的 Contact Center Express (CCX) Editor 應用程式。此漏洞源於關鍵功能缺乏身份驗證機制,也就是 CCX Editor 與 Unified CCX 伺服器之間的通訊未經適當驗證。
攻擊者可透過將身份驗證流程重新導向至惡意伺服器,欺騙 CCX Editor 誤以為身份驗證已成功。成功利用後,攻擊者可在受影響的 Unified CCX 伺服器底層作業系統上建立並執行任意指令碼,權限為內部非 root 使用者帳號。
值得注意的是,這兩個漏洞彼此獨立。Cisco 特別強調:「利用其中一個漏洞並非利用另一個漏洞的必要條件。」這意味著攻擊者有兩個獨立的攻擊途徑,大幅增加了系統的風險暴露面。
受影響版本與修補方案
無論設備如何配置,以下 UCCX 版本均受到影響:
- Cisco Unified CCX Release 12.5 SU3 及更早版本(修補版本:12.5 SU3 ES07)
- Cisco Unified CCX Release 15.0(修補版本:15.0 ES01)
Cisco 表示目前沒有任何解決方法(workaround)可緩解這些漏洞,唯一有效的防護措施就是升級至修補版本。
ISE 高危漏洞可導致服務中斷
除了 UCCX 漏洞,Cisco 也修補了 Identity Services Engine (ISE) 的高危漏洞 CVE-2025-20343,CVSS 評分為 8.6 分。ISE 是 Cisco 提供的身份驗證與網路存取控制解決方案,廣泛應用於企業網路的存取管理。
此漏洞允許未經身份驗證的遠端攻擊者導致受影響設備意外重啟,造成阻斷服務狀況。Cisco 說明:「此漏洞是由於處理已被拒絕端點的 MAC 位址的 RADIUS 存取請求時出現邏輯錯誤所致。攻擊者可透過向 Cisco ISE 發送特定序列的多個特製 RADIUS 存取請求訊息來利用此漏洞。」
雖然這是一個 DoS 漏洞而非允許遠端程式碼執行,但對於依賴 ISE 進行網路存取控制的企業而言,服務中斷仍可能造成嚴重影響。
防火牆漏洞出現新攻擊變種
Cisco 在近日更新的安全公告中警告,該公司發現針對 Cisco Secure Firewall Adaptive Security Appliance (ASA) 軟體和 Cisco Secure Firewall Threat Defense (FTD) 軟體的新攻擊變種。這些攻擊針對容易受到 CVE-2025-20333 和 CVE-2025-20362 影響的設備。
相關文章:中國駭客鎖定思科ASA防火牆,澳洲警告BadCandy惡意軟體持續感染未修補設備
Cisco 表示:「這種攻擊可能導致未修補的設備意外重新載入,造成阻斷服務狀況。」該公司強烈敦促客戶儘快套用更新。
這兩個防火牆漏洞於 9 月底首次披露,但在披露前已遭駭客作為零日漏洞利用,用於傳播
RayInitiator 和 LINE VIPER 等惡意軟體。根據英國國家網路安全中心(National Cyber Security Centre, NCSC)的情資,這些攻擊活動已實際出現。
CVE-2025-20333 允許攻擊者透過特製的 HTTP 請求以 root 權限執行任意程式碼。CVE-2025-20362 則使攻擊者能夠在未經身份驗證的情況下存取受限制的 URL。
美國網路安全暨基礎設施安全局(CISA)於 9 月發布緊急指令,要求美國聯邦機構保護其網路上的 Cisco 防火牆設備。威脅監測服務 Shadowserver 後續發現,超過 5 萬台暴露於網際網路的 Cisco ASA 和 FTD 防火牆設備仍未修補。
延伸閱讀:駭客利用 Cisco 零時差漏洞在網路交換器植入 Rootkit