Comprender el impacto de la vulnerabilidad Apache Log4j en la solución de Cisco Contact Center
Contenido
Introducción
Este documento describe el impacto de la vulnerabilidad Apache Log4j en la línea de productos de Cisco Contact Center (UCCE).
Prerequisites
Requirements
No hay requisitos específicos para este documento.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Productos de Cisco Unified Contact Center versión 11.6 y posteriores.
Antecedentes
Apache anunció recientemente una vulnerabilidad en el componente Log4j. Es ampliamente utilizado en la solución de centro de atención y manejo de contactos y Cisco está activamente en la evaluación de la línea de productos para verificar qué es seguro y qué se ve afectado.
Este documento presenta más información a medida que está disponible.
| Aplicación | ID del defecto | 11.6.(2) | 12.0(1) | 12.5(1) | 12.6(1) |
|---|---|---|---|---|---|
| UCCE/ICM | CSCwa47273 |
Nota 1: Se requiere el parche ES_55; consulte el documento de migración de OpenJDK Nota 2: Verificación de la versión de Tomcat: consulte la sección "Verificación de versiones de Tomcat en servidores ICM" a continuación |
|||
| PCCE | CSCwa47274  |
Nota 1: Se requiere el parche ES_55; consulte el documento de migración de OpenJDK Nota 2: Verificación de la versión de Tomcat: consulte la sección "Verificación de versiones de Tomcat en servidores ICM" a continuación |
|||
| CTIOS | No se ve afectado | No se ve afectado | No se ve afectado | No se ve afectado | |
|
Aplicación |
ID del defecto |
11.6(1) |
12.0(1) |
12.5(1) |
12.6(1) |
| CVP | CSCwa47275 | ||||
| VVB | CSCwa47397 |
No se ve afectado | No se ve afectado |
* use el parche publicado el 29 de diciembre de 2021 |
|
| Call Studio | CSCwa54008 |
||||
| Finesse | CSCwa46459 |
No se ve afectado | No se ve afectado | No se ve afectado | |
| CUIC | CSCwa46525 |
No se ve afectado | No se ve afectado | No se ve afectado | |
| Datos en tiempo real (LD) | CSCwa46810 | ||||
| IDS | No se ve afectado | No se ve afectado | No se ve afectado | No se ve afectado | |
| CUIC Co-res (CUIC-LD-IDS) | CSCwa46810 | ||||
| CloudConnect | CSCwa51545 | No se ve afectado | |||
| ECE | CSCwa47392 | No se ve afectado | |||
| CCMP | CSCwa47383 | No se ve afectado | No se ve afectado | ||
| CCDM | CSCwa47383 | No se ve afectado | No se ve afectado | ||
| Google CCAI |
Google confirmó que el conjunto de características de CCAI no se ve afectado | ||||
| Webex Experience Management (WxM) | WxM no utiliza el usuario log4j, por lo que la solución no se ve afectada. | ||||
| Customer Collaboration Platform (CCP) | CSCwa47384 |
No se ve afectado | No se ve afectado | No se ve afectado | No se ve afectado |
* Las fechas de lanzamiento están sujetas a cambios y se actualizarán según sea necesario hasta que se lance el parche
Verificación de versiones de Tomcat en servidores ICM
1. En los servidores ICM, es decir, routers, registradores, servidores PG y AW, verifique la versión de tomcat instalada ejecutando el archivo "<ICM HOME>\tomcat\bin\version.bat".
2. Si la versión de tomcat es 9.0.37 o superior, siga estos pasos para corregir el defecto "CSCvv7307"
3. Instale el parche ES_81 en el servidor. Si hay algún ES superior a 81 en el servidor ICM, primero asegúrese de desinstalarlo.
- Parche 12.5(1)_ES81: https://software.cisco.com/download/specialrelease/0aab225ecde522734cc6c6491ad1eb42
- Léame 12.5(1)_ES81: https://www.cisco.com/web/software/280840583/158250/Release_Document_1.html
4. Después de instalar correctamente ES_81, confirme la versión de tomcat nuevamente ejecutando el archivo bat "<ICM HOME>\tomcat\bin\version.bat"
5. La versión de Tomcat debe seguir siendo la misma que el paso 1. Si es así, continúe con la reinstalación ordenada de todos los ES deseados hasta e incluyendo el parche de log4j, es decir, ES_101
Preguntas frecuentes
P.1 ¿Con qué frecuencia se revisa el documento con la información más reciente?
Respuesta: El documento se revisa diariamente y se actualiza por la mañana (horas de EE. UU.)
P.2 ¿Las versiones de ICM son (Router, registrador, AW, PG) 10.x, 11.0(x), 11.5(x) y 11.6(1) se ven afectados?
Respuesta: Estas versiones no se ven afectadas, ya que utilizan la versión 1.X de log4j.
P.3 ¿Cuándo se lanzan los parches?
Respuesta: La tabla de asesoramiento resalta las fechas provisionales en que se lanzan los parches. La tabla se actualizará con los enlaces relacionados a medida que estén disponibles.
P.4 ¿Hay alguna solución alternativa que se pueda implementar hasta que la solución esté lista?
Respuesta: La recomendación es seguir el aviso de PSIRT y asegurarse de que los parches se apliquen lo antes posible una vez que se hayan publicado para las versiones afectadas.
Q.5 CUIC independiente 11.6(1) no se ve afectado y log4j. Sin embargo, el archivo léame de ES indica que es un parche obligatorio en el servidor. ¿por qué?
Respuesta: Este ES no es un ES independiente que solo tenga la corrección de log4j, este ES23 es un ES acumulativo como el que tendríamos para cualquier producto VOS. Es decir, solo hay un ES acumulado más reciente disponible para el cliente en cualquier momento. Considere esta situación, en la que Cu se encuentra en CUIC 11.6 ES 21 independiente (o antes) y requiere la corrección de defectos CUIC de ES22, en ese caso aún debe instalar ES23 (ya que los ES son acumulativos y solo la última versión de ES está disponible para el cliente). Además, este defecto de log4j se menciona y se detalla en el defecto de LD en el archivo Léame de ES. Durante la instalación de ES, se instalan correcciones de defectos en función de la implementación según corresponda (es decir, se comprueba la implementación si: CUIC independiente/CUIC de co-resolución/LD antes de la instalación de ES y se aplican las correcciones de defectos en consecuencia)
P.6 ¿Qué medidas debo tomar si el escáner de seguridad de mi organización (Ejemplo: Qualys) recoge CVE-2021-45105 después de aplicar parches a mi producto UCCE?
Respuesta: No se requiere ninguna acción, ya que Cisco revisó CVE-2021-45105 y determinó que esta vulnerabilidad no afecta los productos ni las ofertas en la nube de Cisco. Esta información también se destacó en el aviso. Para que la versión 2.16.0 de Log4j sea vulnerable a DDoS, se requiere una configuración no predeterminada para poder explotarla. Esto significa que el atacante debe modificar manualmente el archivo de configuración log4j y esto no es posible en los productos UCCE, por lo tanto, CVE-2021-45105 no es aplicable.
P7. ¿Qué hago cuando veo archivos Log4j ".jar" más antiguos en mi sistema, como archivos 1.2x?
Respuesta: La recomendación es dejar los archivos antiguos para que el proceso de reversión no se interrumpa. Tener una versión inactiva de estos archivos en el sistema no deja al componente vulnerable.
Sin embargo, si la empresa requiere que se eliminen los archivos, se recomienda probar el proceso deseado en el laboratorio antes de implementar los pasos en la producción para minimizar el impacto. También se recomienda tener a mano un plan de respaldo y reversión para recuperar el sistema en caso de que haya problemas con la actividad.
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
21.0 |
14-Jan-2022
|
Revisión 20.0 |
20.0 |
06-Jan-2022
|
Revisión 19.0 |
19.0 |
03-Jan-2022
|
Revisión 18.0 |
18.0 |
29-Dec-2021
|
Revisión 17.0 |
17.0 |
29-Dec-2021
|
Revisión 15.0 |
16.0 |
26-Dec-2021
|
Revisión 14.0 |
15.0 |
25-Dec-2021
|
Revisión 13.0 |
14.0 |
24-Dec-2021
|
Revisión 12.0 |
13.0 |
23-Dec-2021
|
Revisión 11.0 |
12.0 |
23-Dec-2021
|
Revisión 10.0 |
11.0 |
22-Dec-2021
|
Revisión 9.0 |
10.0 |
22-Dec-2021
|
Revisión 8.0 |
9.0 |
20-Dec-2021
|
Revisión 7.0 |
7.0 |
19-Dec-2021
|
Revisión 6.0 |
6.0 |
17-Dec-2021
|
Revisión 5.0 |
5.0 |
17-Dec-2021
|
Revisión 4.0 |
4.0 |
17-Dec-2021
|
Revisión 3.0 |
3.0 |
16-Dec-2021
|
Revisión 2.0 |
1.0 |
14-Dec-2021
|
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)