思科联络中心的重大漏洞威胁到客户服务

据外媒报道，思科联络中心的重大漏洞威胁到客户服务，该漏洞使攻击者可以访问和修改代理资源、电话队列和其他客户服务系统，并访问公司客户的个人信息。

思科UCCE

影响思科统一联络中心企业(UCCE)产品组合的严重安全漏洞可能导致权限升级和平台接管。

思科UCCE是一个内部客户服务平台，可支持多达24，000名客户服务代理使用的渠道包括入站语音、出站语音、出站交互式语音响应(IVR)和数字渠道。它还通过呼叫后IVR、电子邮件和网络拦截调查提供反馈回路；和各种报告选项来收集有关代理性能的信息，以用于建立指标和通知商业智能。

根据产品网站，它的用户中有一些重量级人物，包括美国移动。

bug-CVE-2022-20658

研究人员发现的bug(CVE-2022-20658)是一个特别令人讨厌的bug，在CVSS漏洞严重性等级中，它的关键评级为9.6分(满分10分)，并且可能允许经过身份验证的远程攻击者将其权限提升为管理员，并能够创建其他管理员帐户。

它具体存在于思科统一联系中心管理门户(统一CCMP)和思科统一联系中心域管理器(统一CCDM)的基于网络的管理界面中，源于服务器依赖于客户端处理的身份验证机制这一事实。这为攻击者修改客户端行为以绕过保护机制打开了大门。

CCMP管理工具这使得联络中心主管能够在不同的呼叫队列、品牌、产品线等之间移动、添加和更换在联络中心不同区域工作的代理。CCDM是一套服务器组件(便携文档格式)进行后端管理，包括身份验证和其他安全功能、资源分配，以及保存系统内所有资源(如座席和已拨号码)和采取的操作(如电话呼叫和座席状态更改)信息的数据库。

攻击者可以访问和修改与思科相关平台的用户信息

思科警告称，借助额外的管理帐户，攻击者可以访问和修改与易受攻击的思科统一CCMP相关的所有平台上的电话和用户资源。人们可以推断出攻击者通过破坏一家大公司的客户服务系统可能造成的运营和品牌身份混乱，更不用说访问该系统必须存放在公司客户身上的个人信息数据宝库可能造成的损害，包括电话和电子邮件通信。

这也不难利用:“这个漏洞是由于服务器端缺乏对用户权限的验证，”思科解释说在咨询中本周。”攻击者可以通过向易受攻击的系统提交精心编制的HTTP请求来利用此漏洞.”

但是，要成功利用该漏洞，攻击者需要有效的“高级用户”凭据，因此该漏洞需要与另一个链接才能进行初始访问。

有针对这个问题的补丁，但没有解决方案。补丁信息如下:

版本11.6.1和更低版本:固定版本是11.6.1 ES17

版本12.0.1:固定版本是12.0.1 ES5

版本12.5.1:固定版本是12.5.1 ES5

版本12.6.1:不受影响

据这家网络巨头称，到目前为止，还没有已知的公开漏洞。