Cacat Kritis di Cisco UCCX Izinkan Penyerang Jalankan Perintah Sebagai Root
Cisco baru saja merilis pembaruan keamanan penting untuk menambal kerentanan kritis pada perangkat lunak Unified Contact Center Express (UCCX), yang dapat memungkinkan penyerang mengeksekusi perintah dengan hak akses root secara jarak jauh tanpa autentikasi.
🧩 Rincian Kerentanan CVE-2025-20354
Kerentanan ini ditemukan oleh peneliti keamanan Jahmel Harris pada proses Java Remote Method Invocation (RMI) di Cisco Unified CCX.
Cacat ini terjadi karena mekanisme autentikasi yang tidak tepat dalam fitur tertentu UCCX, memungkinkan penyerang untuk mengunggah file berbahaya dan menjalankan perintah sistem dengan hak akses tertinggi.
“Kerentanan ini memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi perintah arbitrer di sistem operasi yang mendasari dan meningkatkan hak istimewa ke root,” jelas Cisco dalam security advisory resminya.
⚠️ Kerentanan Tambahan di Aplikasi CCX Editor
Selain CVE-2025-20354, Cisco juga memperbaiki celah kritis lain di aplikasi Contact Center Express (CCX) Editor.
Bug ini memungkinkan penyerang melewati autentikasi dan membuat serta menjalankan skrip arbitrer dengan hak admin, hanya dengan mengalihkan alur autentikasi ke server berbahaya yang meniru proses login sah.
🛠️ Rilis yang Sudah Diperbaiki
Cisco merekomendasikan administrator IT segera memperbarui perangkat lunak UCCX ke versi yang sudah menutup celah ini:
| Cisco Unified CCX Release | Rilis dengan Patch |
|---|---|
| 12.5 SU3 dan sebelumnya | 12.5 SU3 ES07 |
| 15.0 | 15.0 ES01 |
Cisco menegaskan bahwa semua konfigurasi UCCX terpengaruh, namun hingga saat ini belum ditemukan eksploitasi aktif di lapangan maupun proof-of-concept (PoC) yang dipublikasikan.
🔐 Kerentanan Terkait di Produk Cisco Lain
Pada saat yang sama, Cisco juga memperingatkan adanya celah berisiko tinggi (CVE-2025-20343) pada Cisco Identity Services Engine (ISE), yang memungkinkan penyerang jarak jauh tak terautentikasi memicu kondisi denial-of-service (DoS), menyebabkan perangkat restart berulang.
Selain itu, terdapat empat kerentanan lain (CVE-2025-20374 s.d. CVE-2025-20377) di produk Contact Center yang memungkinkan penyerang dengan hak tinggi untuk:
- Menjalankan perintah sebagai root
- Mengunduh file arbitrer
- Mengakses informasi sensitif
🧠 Latar Belakang dan Tindakan Darurat
Kerentanan dengan tingkat serupa sebelumnya juga ditemukan pada Cisco ISE, yang memungkinkan eskalasi hak istimewa ke root.
Pada September 2025, CISA (Cybersecurity and Infrastructure Security Agency) bahkan mengeluarkan emergency directive untuk menutup dua celah zero-day di perangkat firewall Cisco ASA dan FTD, setelah lebih dari 50.000 perangkat Internet-exposed ditemukan masih belum ditambal oleh Shadowserver.
✅ Rekomendasi Cisco
Cisco menyarankan organisasi untuk:
- Segera memperbarui ke rilis perbaikan sesuai tabel di atas.
- Menonaktifkan akses RMI jarak jauh jika tidak diperlukan.
- Menerapkan segmentasi jaringan dan pembatasan akses administratif.
- Memantau log sistem dan aktivitas anomali pasca-pembaruan.
Sumber: Cisco Security Advisory
