Cisco brengt noodoplossing uit voor kritieke root-credentialfout in Unified CM

Cisco, een toonaangevende leverancier van netwerkhardware, heeft een dringende beveiligingswaarschuwing afgegeven en updates uitgebracht om een ​​ernstige kwetsbaarheid in Unified Communications Manager (Unified CM) en Unified Communications Manager Session Management Edition (Unified CM SME) te verhelpen. Deze kritieke kwetsbaarheid, geïdentificeerd als CVE-2025-20309 , heeft de hoogst mogelijke ernstclassificatie, een CVSS-score van 10,0, wat aangeeft dat deze gemakkelijk kan worden uitgebuit met verwoestende gevolgen.

De kwetsbaarheid is te wijten aan "statische gebruikersreferenties voor de root-account die gereserveerd zijn voor gebruik tijdens de ontwikkeling", zoals Cisco in zijn advies stelt. Simpel gezegd: deze systemen werden geleverd met een geheime, onveranderlijke gebruikersnaam en wachtwoord voor een superuseraccount, de zogenaamde rootgebruiker. Een rootgebruiker heeft volledige controle over een systeem, kan elke opdracht uitvoeren en toegang krijgen tot alle bestanden. Omdat deze referenties statisch zijn, wat betekent dat ze niet veranderen en niet door gebruikers kunnen worden verwijderd, vormen ze een constante achterdeur.

Een aanvaller zou deze hardgecodeerde inloggegevens kunnen gebruiken om op afstand in te loggen op een getroffen apparaat zonder voorafgaande authenticatie. Eenmaal ingelogd als rootgebruiker, zou hij volledige beheerdersrechten kunnen krijgen, waardoor hij volledige controle over het communicatiesysteem krijgt. Dit kan leiden tot een breed scala aan aanvallen, van het verstoren van diensten tot het stelen van gevoelige gegevens of zelfs het gebruiken van het gecompromitteerde systeem om verdere aanvallen binnen een netwerk uit te voeren.

De beveiligingsfout heeft gevolgen voor Cisco Unified CM en Unified CM SME-versies van 15.0.1.13010-1 tot en met 15.0.1.13017-1. Belangrijker nog, deze kwetsbaarheid bestaat ongeacht de configuratie van het apparaat, waardoor een breed scala aan systemen mogelijk kwetsbaar is. Hoewel Cisco de fout ontdekte via eigen interne beveiligingstests en geen bewijs heeft gevonden dat deze actief in het wild wordt misbruikt, vereist de extreme ernst onmiddellijke actie.

Er zijn geen tijdelijke oplossingen om dit risico te beperken. Cisco heeft software-updates uitgebracht om de kwetsbaarheid te verhelpen en adviseert alle getroffen klanten om hun systemen zo snel mogelijk te upgraden. Klanten met een servicecontract kunnen deze updates via hun gebruikelijke kanalen verkrijgen, terwijl anderen contact kunnen opnemen met het Technical Assistance Centre (TAC) van Cisco voor een gratis upgrade. Het is cruciaal voor organisaties om deze patches snel te implementeren om hun communicatie-infrastructuur te beschermen tegen mogelijke inbreuken.

"Allereerst moet elke organisatie die dit platform gebruikt zo snel mogelijk upgraden. Bovendien moeten ze de details van de indicatoren van inbreuken in de Cisco-adviesinformatie raadplegen en onmiddellijk hun incidentresponsprocessen in werking stellen", aldus Ben Ronallo, Principal Cyber ​​Security Engineer bij Black Duck, een in Burlington, Massachusetts gevestigde leverancier van applicatiebeveiligingsoplossingen.

"Omdat de inloggegevens bij een root-account (d.w.z. een admin-account) horen, is de kans op kwaadaardige activiteiten aanzienlijk. Een mogelijk gevolg hiervan zou kunnen zijn dat een aanvaller de netwerkroutering kan wijzigen voor social engineering of data-exfiltratie", waarschuwde Ben.