Cisco corrige des failles critiques dans Unified Contact Center Express

Cisco a publié des correctifs pour deux vulnérabilités critiques dans son Unified Contact Center Express (CCX) qui pourraient permettre aux attaquants de contourner l’authentification et d’exécuter des commandes en tant que root sur le système sous-jacent.

La société a également mis en garde aujourd’hui contre une nouvelle variante d’attaque ciblant deux vulnérabilités précédemment corrigées dans ses logiciels Secure Firewall Adaptive Security Appliance (ASA) et Secure Firewall Threat Defense (FTD). Les failles ont été exploitées dans la nature par un groupe de cyberespionnage identifié sous le nom d’UAT4356 ou Storm-1849.

Les deux vulnérabilités d’Unified CCX impactent la version 15.0, ainsi que les versions 12.5 SU3 et antérieures, quelle que soit la configuration. La société a publié les versions 15.0 ES01 et 12.5 SU3 ES07 pour corriger ces failles et a exhorté les clients à les installer.

Cisco Unified CCX est une solution de centre de contact destinée aux entreprises de taille moyenne comptant jusqu’à 400 agents. Il effectue un routage automatisé des appels et une réponse vocale interactive, et permet aux agents d’interagir avec les clients via plusieurs canaux, notamment la voix, le chat Web, le courrier électronique et les réseaux sociaux via un client de bureau unifié.

Contournement d’authentification et exécution de code à distance

L’une des failles, identifiée comme CVE-2025-20354, se trouve dans l’application Editor et permet à un attaquant distant de contourner l’authentification et d’obtenir la possibilité de créer et d’exécuter des scripts avec des privilèges administratifs. Cette vulnérabilité a reçu une note CVSS de 9,4 sur 10.

« Cette vulnérabilité est due à des mécanismes d’authentification inappropriés dans la communication entre CCX Editor et un serveur Unified CCX concerné », a indiqué la société dans son avis. « Un attaquant pourrait exploiter cette vulnérabilité en redirigeant le flux d’authentification vers un serveur malveillant et en faisant croire à l’éditeur CCX que l’authentification a réussi. »

La deuxième faille, identifiée comme CVE-2025-20354, pourrait permettre à un attaquant non authentifié de télécharger un fichier spécialement conçu sur un serveur Cisco Unified CCX vulnérable via le processus Java Remote Method Invocation (RMI). Cette attaque pourrait entraîner l’exécution de commandes sur le système d’exploitation sous-jacent avec les privilèges root. L’indice de gravité CVSS pour cette faille est de 9,8.

Bien que Cisco n’ait connaissance d’aucune exploitation malveillante de ces failles, les utilisateurs doivent déployer les correctifs dès que possible car il s’agit du type de failles que les attaquants ont tendance à adopter très rapidement.

La société a également corrigé quatre failles de gravité moyenne dans Unified CCX, Cisco Unified Contact Center Enterprise (CCE), Cisco Packaged Contact Center Enterprise (CCE) et Cisco Unified Intelligence Center (UIC).

Suivies sous les noms CVE-2025-20374, CVE-2025-20375, CVE-2025-20376 et CVE-2025-20377, ces failles peuvent conduire à la divulgation d’informations sensibles, au téléchargement de fichiers arbitraires, à l’exécution de commandes arbitraires et à l’élévation des privilèges vers l’utilisateur root. Cependant, pour être exploités, ils nécessitent une authentification en tant qu’utilisateur valide.

Nouvelle variante d’attaque pour ASA et FTD

Par ailleurs, Cisco a averti que les pirates avaient développé une nouvelle variante d’attaque pour CVE-2025-20333 et CVE-2025-20362, deux failles activement exploitées dans Cisco ASA et FTD initialement corrigées en septembre. Alors que les failles ont été initialement exploitées pour un accès non autorisé aux points de terminaison VPN et l’exécution de code à distance, la nouvelle variante d’attaque ne peut conduire qu’à des redémarrages inattendus des appareils et à des conditions de déni de service.