Множественные продукты Cisco Unified Communications: уязвимость к атаке типа 'отказ в обслуживании' из-за высокого потребления CPU в неаутентифицированном API

Уязвимость в API-конечной точке нескольких продуктов Cisco Unified Communications может позволить неавторизованному удаленному злоумышленнику вызвать высокую загрузку CPU, что может повлиять на доступ к веб-интерфейсу управления и привести к задержкам в обработке звонков. Это API не используется для управления устройствами и вряд ли будет использоваться в нормальном функционировании устройства. Это уязвимость вызвана неправильной аутентификацией API и неполной валидацией запроса API. Злоумышленник может эксплуатировать эту уязвимость, отправив искусственно созданный HTTP-запрос на конкретный API-эндпоинт устройства. Успешная эксплуатация позволяет злоумышленнику вызвать состояние отказа в обслуживании (DoS) из-за высокой загрузки CPU, что может отрицательно сказаться на трафике пользователей и доступе к управлению. Когда атака прекращается, устройство восстанавливается без ручного вмешательства. Cisco выпустила обновления программного обеспечения, которые устраняют эту уязвимость. Нет обходных путей, которые бы устраняли эту уязвимость. Это уведомление доступно по следующей ссылке: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-apidos-PGsDcdNF Оценка воздействия на безопасность: Высокий CVE: CVE-2023-20259