Kritická zraniteľnosť v Cisco Unified Communications Manager
Zraniteľnosť v produktoch Cisco Unified Communications Manager (Unified CM) a Cisco Unified Communications Manager Session Management Edition (Unified CM SME) môže umožniť neautentifikovanému vzdialenému útočníkovi prihlásiť sa do napadnutého zariadenia ako používateľ root.
Zraniteľné systémy:
- Cisco Unified CM verzie 15.0.1.13010 – 15.0.1.13017-1
- Cisco Unified CM SME Engineering Special (ES) verzie 15.0.1.13010 – 15.0.1.13017-1
Cisco ďalej upozorňuje, že zraniteľnosť sa netýka rovnomenných produktov vo verzii 12.5 a 14
Opis zraniteľnosti:
CVE-2025-20309 (CVSS 3.1 skóre 10,0)
Zraniteľnosť umožňuje neoprávnené prihlásenie do účtu root s pôvodnými statickými prihlasovacími údajmi, ktoré nemožno zmeniť ani vymazať. Tieto prihlasovacie údaje boli neúmyselne ponechané v produkčných systémoch z obdobia vývoja aplikácie. Útočník týmto môže získať oprávnenie na spúšťanie ľubovoľných príkazov, prístup k hovorom prebiehajúcich cez zraniteľný softvér a prihlasovacím údajom používateľov.
Možné škody:
- Eskalácia privilégií
- Získanie úplnej kontroly nad systémom
Odporúčania:
Vzhľadom na kritickosť zraniteľnosti odporúčame bezodkladnú aktualizáciu na verziu 15SU3 alebo aplikovať aktualizačný súbor, dostupný na https://software.cisco.com/download/home/286331940/type/286319173/release/COP-Files
Spoločnosť Cisco uvádza, že indikátorom zneužitia môžu byť logy zariadenia obsahujúce výraz sshd s úspešným SSH prihlásením ako užívateľ root. Na získanie týchto logov možno použiť príkaz:
cucm1# file get activelog syslog/secure
Príklad logu kompromitovaného systému:
Apr 6 10:38:43 cucm1 authpriv 6 systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0)
Apr 6 10:38:43 cucm1 authpriv 6 sshd: pam_unix(sshd:session): session opened for user root by (uid=0)
Zdroje: