Cisco ha publicado actualizaciones de seguridad para abordar una
falla de seguridad de máxima gravedad en Unified Communications Manager
(Unified CM) y Unified Communications Manager Session Management Edition
(Unified CM SME). Esta vulnerabilidad podría permitir a un atacante iniciar
sesión en un dispositivo vulnerable como usuario root, obteniendo así
privilegios elevados.
La vulnerabilidad, identificada como CVE-2025-20309, tiene una puntuación
CVSS de 10.0.
«Esta vulnerabilidad se debe a la presencia de credenciales de usuario
estáticas para la cuenta root, reservadas para su uso durante el
desarrollo»,
declaró Cisco
en un aviso publicado el miércoles.
«Un atacante podría explotar esta vulnerabilidad utilizando la cuenta para
iniciar sesión en un sistema afectado. Una explotación exitosa podría
permitirle iniciar sesión en el sistema afectado y ejecutar comandos
arbitrarios como usuario root».
Credenciales como esta, codificadas de forma rígida, suelen provenir de
pruebas o soluciones rápidas durante el desarrollo, pero nunca deberían
incorporarse a sistemas operativos. En herramientas como Unified CM, que
gestionan las llamadas de voz y la comunicación en toda la empresa, el acceso
root puede permitir a los atacantes adentrarse en la red, escuchar
llamadas o modificar el inicio de sesión de los usuarios.
El fabricante de equipos de red afirmó no haber encontrado evidencia de que la
vulnerabilidad se estuviera explotando de forma activa y que se descubrió
durante pruebas de seguridad internas.
CVE-2025-20309 afecta a las versiones 15.0.1.13010-1 a 15.0.1.13017-1 de
Unified CM y Unified CM SME, independientemente de la configuración del
dispositivo.
Cisco también ha publicado indicadores de compromiso (IoC) asociados a la
vulnerabilidad, que indican que una explotación exitosa generaría una entrada
de registro en «/var/log/active/syslog/secure» para el usuario y
permisos root. El registro se puede recuperar ejecutando el siguiente
comando desde la interfaz de línea de comandos:
cucm1# file get activelog syslog/secure
Este desarrollo se produce tan solo unos días después de que
la compañía corrigiera dos fallos
de seguridad en Identity Services Engine e ISE Passive Identity Connector
(CVE-2025-20281 y CVE-2025-20282) que podrían permitir que un atacante no
autenticado ejecute comandos arbitrarios como usuario root.
Fuente:
THN