Cisco wydaje awaryjną poprawkę krytycznej luki w poświadczeniach głównych w Unified CM

Cisco, wiodąca firma zajmująca się sprzętem sieciowym, wydała pilny alert bezpieczeństwa i udostępniła aktualizacje w celu rozwiązania poważnej luki w zabezpieczeniach swojego Unified Communications Manager (Unified CM) i Unified Communications Manager Session Management Edition (Unified CM SME). Ta krytyczna luka, zidentyfikowana jako CVE-2025-20309 , ma najwyższą możliwą ocenę powagi, wynik CVSS 10,0, co wskazuje, że można ją łatwo wykorzystać z katastrofalnymi konsekwencjami.

Luka wynika ze „statycznych danych uwierzytelniających użytkownika dla konta root, które są zarezerwowane do użycia podczas rozwoju”, jak stwierdziła firma Cisco w swoim ostrzeżeniu . Mówiąc prościej, systemy te zostały dostarczone z tajną, niezmienną nazwą użytkownika i hasłem dla konta superużytkownika, znanego jako użytkownik root. Użytkownik root ma pełną kontrolę nad systemem, może wykonywać dowolne polecenia i uzyskiwać dostęp do wszystkich plików. Ponieważ te dane uwierzytelniające są statyczne , co oznacza, że ​​nie zmieniają się i nie mogą zostać usunięte przez użytkowników, stanowią one stałe tylne wejście.

Atakujący może użyć tych zakodowanych na stałe danych uwierzytelniających, aby zalogować się zdalnie do zainfekowanego urządzenia bez konieczności wcześniejszego uwierzytelnienia. Po zalogowaniu się jako użytkownik root może uzyskać pełne uprawnienia administracyjne, co pozwoli mu przejąć pełną kontrolę nad systemem komunikacji. Może to doprowadzić do szerokiego zakresu ataków, od zakłócania usług po kradzież poufnych danych, a nawet wykorzystanie naruszonego systemu do przeprowadzania dalszych ataków w sieci.

Luka w zabezpieczeniach dotyczy wersji Cisco Unified CM i Unified CM SME od 15.0.1.13010-1 do 15.0.1.13017-1. Co ważniejsze, luka ta istnieje niezależnie od konfiguracji urządzenia, co sprawia, że ​​wiele systemów jest potencjalnie podatnych na atak. Chociaż Cisco odkryło lukę za pomocą własnych wewnętrznych testów bezpieczeństwa i nie znalazło żadnych dowodów na jej aktywne wykorzystywanie w środowisku naturalnym, jej ekstremalna powaga wymaga natychmiastowego działania.

Nie ma tymczasowych obejść, które mogłyby złagodzić to ryzyko. Cisco wydało aktualizacje oprogramowania, aby naprawić lukę, zalecając wszystkim dotkniętym klientom niezwłoczną aktualizację swoich systemów. Klienci z umowami serwisowymi mogą uzyskać te aktualizacje za pośrednictwem swoich zwykłych kanałów, podczas gdy inni mogą skontaktować się z Centrum Pomocy Technicznej (TAC) Cisco w celu uzyskania bezpłatnej aktualizacji. Dla organizacji kluczowe jest szybkie zastosowanie tych poprawek w celu ochrony infrastruktury komunikacyjnej przed potencjalnym naruszeniem.

„Przede wszystkim każda organizacja korzystająca z tej platformy musi dokonać aktualizacji tak szybko, jak to możliwe. Ponadto muszą zapoznać się ze wskaźnikami szczegółów naruszeń podanymi w poradniku Cisco i natychmiast wdrożyć swoje procesy reagowania na incydenty” — powiedział Ben Ronallo, główny inżynier ds. cyberbezpieczeństwa w Black Duck, dostawcy rozwiązań bezpieczeństwa aplikacji z siedzibą w Burlington w stanie Massachusetts.

„Ponieważ dane uwierzytelniające należą do konta root (czyli admin), potencjalne ryzyko złośliwej aktywności jest znaczące. Jednym z prawdopodobnych skutków tego może być to, że atakujący będzie w stanie zmodyfikować routing sieciowy w celach inżynierii społecznej lub eksfiltracji danych” – ostrzegał Ben.