Cisco ha publicado actualizaciones de seguridad para abordar una falla de seguridad de máxima gravedad en Unified Communications Manager (Unified CM) y Unified Communications Manager Session Management Edition (Unified CM SME). Esta vulnerabilidad podría permitir a un atacante iniciar sesión en un dispositivo vulnerable como usuario root, obteniendo así privilegios elevados.
La vulnerabilidad, identificada como CVE-2025-20309, tiene una puntuación CVSS de 10.0.
«Esta vulnerabilidad se debe a la presencia de credenciales de usuario estáticas para la cuenta root, reservadas para su uso durante el desarrollo», declaró Cisco en un aviso publicado el miércoles. «Un atacante podría explotar esta vulnerabilidad utilizando la cuenta para iniciar sesión en un sistema afectado. Una explotación exitosa podría permitirle iniciar sesión en el sistema afectado y ejecutar comandos arbitrarios como usuario root».
Credenciales como esta, codificadas de forma rígida, suelen provenir de pruebas o soluciones rápidas durante el desarrollo, pero nunca deberían incorporarse a sistemas operativos. En herramientas como Unified CM, que gestionan las llamadas de voz y la comunicación en toda la empresa, el acceso root puede permitir a los atacantes adentrarse en la red, escuchar llamadas o modificar el inicio de sesión de los usuarios.
El fabricante de equipos de red afirmó no haber encontrado evidencia de que la vulnerabilidad se estuviera explotando de forma activa y que se descubrió durante pruebas de seguridad internas.
CVE-2025-20309 afecta a las versiones 15.0.1.13010-1 a 15.0.1.13017-1 de Unified CM y Unified CM SME, independientemente de la configuración del dispositivo.
Cisco también ha publicado indicadores de compromiso (IoC) asociados a la vulnerabilidad, que indican que una explotación exitosa generaría una entrada de registro en «/var/log/active/syslog/secure» para el usuario y permisos root. El registro se puede recuperar ejecutando el siguiente comando desde la interfaz de línea de comandos:
cucm1# file get activelog syslog/secureEste desarrollo se produce tan solo unos días después de que la compañía corrigiera dos fallos de seguridad en Identity Services Engine e ISE Passive Identity Connector (CVE-2025-20281 y CVE-2025-20282) que podrían permitir que un atacante no autenticado ejecute comandos arbitrarios como usuario root.
Fuente y redacción: segu-info.com.ar
