Cisco łata krytyczne luki w Unified Contact Center Express (UCCX): RCE i eskalacja uprawnień

Wprowadzenie do problemu / definicja luki

Cisco opublikowało poprawki usuwające dwie krytyczne podatności w Unified Contact Center Express (UCCX), które umożliwiają zdalne wykonanie kodu (RCE) oraz podniesienie uprawnień choćby do root. Luki oznaczono jako CVE-2025-20354 (CVSS 9.8) oraz CVE-2025-20358 (CVSS 9.4). Naprawione wersje to UCCX 12.5 SU3 ES07 oraz UCCX 15.0 ES01. Cisco jednocześnie załatało poważny błąd DoS w Cisco ISE (CVE-2025-20343, CVSS 8.6). Na moment publikacji producent nie raportuje wykorzystywania tych luk w naturze.

W skrócie

• Co się dzieje? Dwie krytyczne luki w UCCX: zdalny upload plików i wykonanie komend przez Java RMI (CVE-2025-20354) oraz obejście uwierzytelniania w CCX Editor prowadzące do wykonania skryptów i eskalacji (CVE-2025-20358).
• Wpływ: pełne przejęcie serwera UCCX, możliwość lateral movement w sieci call center.
• Łatki: zaktualizuj do 12.5 SU3 ES07 albo 15.0 ES01 (brak obejść).
• Dodatkowo: łatka DoS dla Cisco ISE (CVE-2025-20343) – restart przez sekwencję żądań RADIUS.

Kontekst / historia / powiązania

Informacja pojawiła się 6 listopada 2025 r. (ET) i wpisuje się w intensywny okres biuletynów Cisco – firma równolegle ostrzegła o nowym wariancie ataków na wcześniej łatane firewalle ASA/FTD. Dla zespołów SOC oznacza to potrzebę skoordynowanego wdrożenia poprawek w kilku produktach jednocześnie.

Analiza techniczna / szczegóły luki

CVE-2025-20354 – RCE przez Java RMI (CVSS 9.8)

• Wektor: nienadzorowane mechanizmy uwierzytelniania powiązane z wybranymi funkcjami UCCX umożliwiają upload spreparowanego pliku przez proces Java RMI, a następnie wykonanie komend z uprawnieniami root.
• Autentykacja: nie wymagana (atak zdalny).
• Skutek: pełne przejęcie hosta UCCX.

CVE-2025-20358 – obejście uwierzytelniania w CCX Editor (CVSS 9.4)

• Wektor: błędne mechanizmy uwierzytelniania w komunikacji między CCX Editor a serwerem UCCX pozwalają przekierować przepływ do złośliwego serwera i „wmówić” Editorowi, iż logowanie się powiodło.
• Skutek: atakujący może tworzyć i wykonywać skrypty na systemie UCCX jako wewnętrzny użytkownik (non-root); w praktyce często prowadzi to do dalszej eskalacji.

Uwaga: obie luki są niezależne – wykorzystanie jednej nie jest warunkiem drugiej.

Cisco ISE – CVE-2025-20343 (CVSS 8.6)

• Wektor: błąd logiki (CWE-697) przy obsłudze żądań RADIUS dla MAC wcześniej oznaczonego jako odrzucony; seria spreparowanych żądań powoduje restart ISE (DoS).

Praktyczne konsekwencje / ryzyko

• Ryzyko operacyjne: unieruchomienie lub kompromitacja platformy contact center (IVR, routingi, integracje z CRM), przerwy w obsłudze klientów, możliwe wycieki danych rozmów/metrystyk.
• Ryzyko security: po przejęciu UCCX – ruch boczny do systemów głosowych/CRM, implanty trwałości, eskalacja do kont domenowych używanych przez integracje.
• Zasięg: UCCX jest powszechny w małych i średnich wdrożeniach (do ~400 agentów), co zwiększa ekspozycję.

Rekomendacje operacyjne / co zrobić teraz

Aktualizacje (priorytet 1):

1. UCCX: natychmiast podnieść do 12.5 SU3 ES07 lub 15.0 ES01. Brak znanych obejść.
2. Cisco ISE: zainstalować wersje usuwające CVE-2025-20343; zweryfikować polityki RADIUS (zwł. „Reject requests from clients with repeated failures”).

Kontrole detekcyjne (priorytet 2):

• Monitoruj połączenia do portów RMI/JRMP (typowo 1099/1100-1199) z nietypowych adresów; alertuj nietypowe transfery plików przez RMI.
• Szukaj anomalii CCX Editor: nagłe próby edycji/skryptów spoza zaufanych stacji administracyjnych; koreluj z logami sieciowymi (proxy/DNS) wskazującymi przekierowanie do obcych hostów.
• Na hostach UCCX audytuj tworzenie/wykonywanie skryptów oraz nowe pliki binarne w katalogach roboczych UCCX/Editor. (Na podstawie opisanych wektorów w biuletynach.)

Twardnienie (priorytet 3):

• Ogranicz zaufane źródła administracji CCX Editor (segregacja VLAN, ACL, jump hosty).
• Segmentuj serwery UCCX od reszty sieci użytkowników i od systemów głosowych/CRM; egzekwuj TLS/MTLS tam, gdzie dostępne.
• W ISE – rozważ tymczasowe zabezpieczenia polityk RADIUS (rate-limit, kontrola źródeł, korekty polityk dla MAC „rejected”) do czasu pełnego patchowania.

Różnice / porównania z innymi przypadkami

• W przeciwieństwie do niedawnych ataków na zapory ASA/FTD (gdzie obserwujemy aktywne, ewoluujące warianty exploitów), w przypadku UCCX nie potwierdzono jeszcze exploitów „in the wild”. Jednak z uwagi na brak uwierzytelniania dla CVE-2025-20354, oczekuj szybkiej próby weaponizacji.

Podsumowanie / najważniejsze wnioski

• Dwie krytyczne luki w UCCX (CVE-2025-20354, CVE-2025-20358) umożliwiają RCE i eskalację uprawnień.
• Aktualizacje do 12.5 SU3 ES07 / 15.0 ES01 są pilne; brak obejść.
• Równolegle załataj Cisco ISE (CVE-2025-20343) i wzmocnij monitoring RMI oraz anomalii w CCX Editor.

Źródła / bibliografia

• SecurityWeek: „Cisco Patches Critical Vulnerabilities in Contact Center Appliance” (06.11.2025). (SecurityWeek)
• Cisco PSIRT: „Cisco Unified Contact Center Express Remote Code Execution Vulnerabilities – cisco-sa-cc-unauth-rce-QeN8h7mQ”. (sec.cloudapps.cisco.com)
• NVD (NIST): wpis CVE-2025-20358 (CCX Editor – auth bypass & script execution). (NVD)
• The Hacker News: omówienie i wersje naprawcze UCCX + wzmianka o ISE. (The Hacker News)
• Qualys ThreatProtect: podsumowanie techniczne + wersje naprawcze. (threatprotect.qualys.com)