Критическая уязвимость CVE-2025-20309 (CVSS 10.0) обнаружена в Cisco Unified Communications Manager (Unified CM) и Cisco Unified Communications Manager Session Management Edition (Unified CM SME). Ошибка затрагивает все конфигурации версий с 15.0.1.13010-1 по 15.0.1.13017-1.
Причина — статические учетные данные root-аккаунта, оставленные для разработки. Злоумышленник, знающий эти данные, получает полный контроль: вход в систему и выполнение произвольных команд с правами root.
Последствия катастрофичны. Root-доступ открывает путь к прослушиванию звонков, изменению механизмов аутентификации пользователей и продвижению вглубь корпоративной сети. Учитывая роль Unified CM в голосовой связи, риски включают утечку конфиденциальных переговоров.
Cisco обнаружила уязвимость в ходе внутреннего тестирования. На текущий момент (апрель 2025) случаев эксплуатации в реальных атаках не зафиксировано. Компания оперативно выпустила патчи.
Для выявления компрометации используйте индикаторы (IoC): проверьте файл журнала
Эта угроза появилась вслед за двумя другими критическими уязвимостями Cisco. CVE-2025-20281 в Cisco Identity Services Engine (ISE) и CVE-2025-20282 в Cisco ISE Passive Identity Connector также позволяли удаленное выполнение команд от root без аутентификации.
Три уязвимости за короткий срок — тревожный тренд. Патч для CVE-2025-20309 уже доступен. Администраторам Unified CM и Unified CM SME в указанных версиях необходимо немедленно обновить системы. Отсрочка установки патчей приравнивается к преднамеренному риску.
Изображение носит иллюстративный характер
Причина — статические учетные данные root-аккаунта, оставленные для разработки. Злоумышленник, знающий эти данные, получает полный контроль: вход в систему и выполнение произвольных команд с правами root.
Последствия катастрофичны. Root-доступ открывает путь к прослушиванию звонков, изменению механизмов аутентификации пользователей и продвижению вглубь корпоративной сети. Учитывая роль Unified CM в голосовой связи, риски включают утечку конфиденциальных переговоров.
Cisco обнаружила уязвимость в ходе внутреннего тестирования. На текущий момент (апрель 2025) случаев эксплуатации в реальных атаках не зафиксировано. Компания оперативно выпустила патчи.
Для выявления компрометации используйте индикаторы (IoC): проверьте файл журнала
/var/log/active/syslog/secure. Запись о входе от root — сигнал атаки. Для извлечения лога выполните команду в интерфейсе CLI:
cucm1 file get activelog syslog/secure
Эта угроза появилась вслед за двумя другими критическими уязвимостями Cisco. CVE-2025-20281 в Cisco Identity Services Engine (ISE) и CVE-2025-20282 в Cisco ISE Passive Identity Connector также позволяли удаленное выполнение команд от root без аутентификации.
Три уязвимости за короткий срок — тревожный тренд. Патч для CVE-2025-20309 уже доступен. Администраторам Unified CM и Unified CM SME в указанных версиях необходимо немедленно обновить системы. Отсрочка установки патчей приравнивается к преднамеренному риску.
