Cisco ha publicado actualizaciones de seguridad para asaltar una rotura de seguridad de severidad máxima en el Administrador de Comunicaciones Unificadas (CM UNIFITY) y Unified Communications Manager Session Management Edition (unificada CM SME) que podría permitir que un atacante inicie sesión en un dispositivo susceptible como adjudicatario de la raíz, lo que les permite obtener privilegios elevados.
La vulnerabilidad, rastreada como CVE-2025-20309lleva una puntuación CVSS de 10.0.
“Esta vulnerabilidad se debe a la presencia de credenciales estáticas de adjudicatario para la cuenta raíz que se reserva para su uso durante el incremento”, dijo Cisco en un aviso publicado el miércoles.
“Un atacante podría explotar esta vulnerabilidad mediante el uso de la cuenta para iniciar sesión en un sistema afectado. Una exploit exitosa podría permitir al atacante iniciar sesión en el sistema afectado y ejecutar comandos arbitrarios como el adjudicatario raíz”.
Las credenciales codificadas como esta generalmente provienen de pruebas o soluciones rápidas durante el incremento, pero nunca deben montar a los sistemas en vivo. En herramientas como Unified CM que manejan llamadas de voz y comunicación en una empresa, Root Access puede permitir que los atacantes se muevan más profundamente en la red, escuchen las llamadas o cambien cómo los usuarios inician sesión.
El comandante de equipos de redes dijo que no encontró evidencia de que el defecto fuera explotado en la naturaleza, y que se descubrió durante las pruebas de seguridad internas.
CVE-2025-20309 afecta las versiones unificadas de CM y CM unificada CM 15.0.1.13010-1 a 15.0.1.13017-1, independientemente de la configuración del dispositivo.
Cisco asimismo ha publicado indicadores de compromiso (IOC) asociados con la rotura, lo que indica una explotación exitosa daría como resultado una entrada de registro a “/var/log/activo/syslog/secure” para el adjudicatario raíz con permisos raíz. El registro puede recuperar ejecutando el venidero comando de la interfaz de cadeneta de comandos –
cucm1# file get activelog syslog/secure
El incremento se produce simplemente días posteriormente de que la compañía solucionó dos fallas de seguridad en el motor de servicios de identidad y el conector de identidad pasivo de ISE (CVE-2025-20281 y CVE-2025-20282) que podría permitir que un atacante no competente ejecute comandos arbitrarios como el adjudicatario root.
