هشدار Cisco درباره روت SSH سختکد شده در Unified CM
Cisco یک حساب backdoor را از Unified Communications Manager (Unified CM) خود حذف کرد که به مهاجمان از راه دور اجازه میداد تا با دسترسی root به دستگاههای آسیبپذیر وارد شوند.
Cisco Unified Communications Manager (CUCM)، که پیشتر به نام Cisco CallManager شناخته میشد، بهعنوان سیستم کنترل مرکزی برای سیستمهای تلفنی IP Cisco عمل میکند و وظیفه مسیریابی تماسها، مدیریت دستگاهها و ویژگیهای تلفنی را بر عهده دارد.
آسیبپذیری (که با نام CVE-2025-20309 شناخته میشود) با حداکثر شدت ردهبندی شده است و ناشی از اطلاعات کاربری ثابت برای حساب root است که برای استفاده در دوران توسعه و آزمایش طراحی شده بود.
طبق مشاوره امنیتی Cisco که روز چهارشنبه منتشر شد، CVE-2025-20309 بر روی نسخههای ۱۵٫۰٫۱٫۱۳۰۱۰-۱ تا ۱۵٫۰٫۱٫۱۳۰۱۷-۱ از Cisco Unified CM و Unified CM SME Engineering Special (ES) تأثیر میگذارد، بدون توجه به پیکربندی دستگاه.
شرکت Cisco افزود که هیچ روش جایگزینی برای رفع این آسیبپذیری وجود ندارد و مدیران تنها میتوانند با ارتقاء دستگاههای آسیبپذیر به Cisco Unified CM و Unified CM SME 15SU3 (تاریخ انتشار: ژوئیه ۲۰۲۵) یا با اعمال فایل پچ CSCwp27755 که در اینجا موجود است، این نقص را برطرف کنند.
Cisco توضیح داد: “آسیبپذیری در Cisco Unified Communications Manager (Unified CM) و Cisco Unified Communications Manager Session Management Edition (Unified CM SME) میتواند به یک مهاجم از راه دور و بدون تایید هویت اجازه دهد تا وارد دستگاه آسیبپذیر شود و از حساب root که دارای اطلاعات ثابت و پیشفرض است، که نمیتوان آن را تغییر یا حذف کرد، استفاده کند.”
در صورت بهرهبرداری موفق، مهاجمان میتوانند به سیستمهای آسیبپذیر دسترسی پیدا کنند و دستورات دلخواه را با دسترسی root اجرا کنند.
در حالی که تیم واکنش به حوادث امنیتی محصولات Cisco (PSIRT) هنوز از وجود کد اثبات مفهوم (PoC) آنلاین یا استفاده از این آسیبپذیری در حملات مطلع نشده است، این شرکت نشانههایی از درگیری (IOC) برای کمک به شناسایی دستگاههای آسیبپذیر منتشر کرده است.
همانطور که Cisco بیان کرده است، بهرهبرداری از CVE-2025-20309 منجر به ورود لاگ به فایل /var/log/active/syslog/secure برای کاربر root با مجوزهای root خواهد شد. از آنجایی که لاگگذاری این رویداد بهطور پیشفرض فعال است، مدیران میتوانند با اجرای دستور زیر از خط فرمان، لاگها را برای شناسایی تلاشهای بهرهبرداری استخراج کنند: file get activelog syslog/secure.
این اولین بار نیست که Cisco مجبور به حذف حسابهای backdoor از محصولات خود در سالهای اخیر است، زیرا پیشتر اطلاعات کاربری سختکد شدهای در نرمافزارهای IOS XE، خدمات برنامه کاربردی پهن باند (WAAS)، معماری شبکه دیجیتال (DNA)، و نرمافزار Emergency Responder کشف شده بود.
اخیراً، Cisco در ماه آوریل به مدیران هشدار داده بود که یک آسیبپذیری بحرانی در ابزار Cisco Smart Licensing Utility (CSLU) را وصله کنند که یک حساب کاربری backdoor داخلی را در معرض حملات قرار میدهد. یک ماه بعد، این شرکت یک توکن JSON Web Token (JWT) سختکد شده را که به مهاجمان از راه دور بدون تایید هویت اجازه میدهد دستگاههای IOS XE را تصرف کنند، حذف کرد.
