Cisco publie un correctif d'urgence pour une faille critique des informations d'identification racine dans Unified CM

Cisco, leader du matériel réseau, a émis une alerte de sécurité urgente et publié des mises à jour pour corriger une vulnérabilité grave dans ses solutions Unified Communications Manager (Unified CM) et Unified Communications Manager Session Management Edition (Unified CM SME). Cette faille critique, identifiée comme CVE-2025-20309 , bénéficie de la cote de gravité la plus élevée, un score CVSS de 10,0, indiquant qu'elle peut être facilement exploitée et avoir des conséquences dévastatrices.

La vulnérabilité provient des « identifiants utilisateur statiques du compte root, réservés à une utilisation pendant le développement », comme l'indique Cisco dans son avis . En termes plus simples, ces systèmes étaient livrés avec un nom d'utilisateur et un mot de passe secrets et immuables pour un compte superutilisateur, appelé utilisateur root. Un utilisateur root a un contrôle total sur un système, peut exécuter n'importe quelle commande et accéder à tous les fichiers. Ces identifiants étant statiques , c'est-à-dire immuables et non supprimables par les utilisateurs, ils constituent une porte dérobée permanente.

Un attaquant pourrait utiliser ces identifiants codés en dur pour se connecter à distance à un appareil affecté sans authentification préalable. Une fois connecté en tant qu'utilisateur root, il pourrait obtenir des privilèges d'administrateur complets, lui permettant de prendre le contrôle total du système de communication. Cela pourrait donner lieu à un large éventail d'attaques, allant de la perturbation des services au vol de données sensibles, voire à l'utilisation du système compromis pour lancer d'autres attaques au sein d'un réseau.

La faille de sécurité affecte les versions Cisco Unified CM et Unified CM SME comprises entre 15.0.1.13010-1 et 15.0.1.13017-1. Plus important encore, cette vulnérabilité existe quelle que soit la configuration de l'appareil, ce qui rend un large éventail de systèmes potentiellement vulnérables. Bien que Cisco ait découvert la faille grâce à ses propres tests de sécurité internes et n'ait trouvé aucune preuve d'exploitation active, son extrême gravité nécessite une action immédiate.

Il n'existe aucune solution temporaire pour atténuer ce risque. Cisco a publié des mises à jour logicielles pour corriger la vulnérabilité et recommande à tous les clients concernés de mettre à niveau leurs systèmes sans délai. Les clients disposant d'un contrat de service peuvent obtenir ces mises à jour par leurs canaux habituels, tandis que les autres peuvent contacter le centre d'assistance technique (TAC) de Cisco pour une mise à niveau gratuite. Il est crucial pour les entreprises d'appliquer ces correctifs rapidement afin de protéger leur infrastructure de communication contre toute compromission potentielle.

« Toute organisation utilisant cette plateforme doit impérativement la mettre à niveau au plus vite. Elle doit également se référer aux indicateurs de compromission détaillés dans l'avis Cisco et mettre en œuvre immédiatement ses processus de réponse aux incidents », a déclaré Ben Ronallo, ingénieur principal en cybersécurité chez Black Duck, fournisseur de solutions de sécurité applicative basé à Burlington, dans le Massachusetts.

« Étant donné que les identifiants appartiennent à un compte root (c'est-à-dire administrateur), le risque d'activité malveillante est important. Un effet plausible pourrait être qu'un attaquant puisse modifier le routage du réseau à des fins d'ingénierie sociale ou d'exfiltration de données », a averti Ben.