Cisco rilascia una correzione di emergenza per un difetto critico nelle credenziali di root in Unified CM

Cisco, azienda leader nel settore dell'hardware di rete, ha emesso un avviso di sicurezza urgente e rilasciato aggiornamenti per risolvere una grave vulnerabilità in Unified Communications Manager (Unified CM) e Unified Communications Manager Session Management Edition (Unified CM SME). Questa falla critica, identificata come CVE-2025-20309 , ha il massimo livello di gravità possibile, un punteggio CVSS di 10,0, a indicare che può essere facilmente sfruttata con conseguenze devastanti.

La vulnerabilità deriva da "credenziali utente statiche per l'account root riservate all'uso durante lo sviluppo", come affermato da Cisco nel suo avviso . In termini più semplici, questi sistemi sono stati forniti con un nome utente e una password segreti e immutabili per un account superutente, noto come utente root. Un utente root ha il controllo completo su un sistema, in grado di eseguire qualsiasi comando e accedere a tutti i file. Poiché queste credenziali sono statiche , il che significa che non cambiano e non possono essere eliminate dagli utenti, rappresentano una backdoor costante.

Un aggressore potrebbe utilizzare queste credenziali hardcoded per accedere da remoto a un dispositivo interessato senza bisogno di alcuna autenticazione preventiva. Una volta effettuato l'accesso come utente root, potrebbe ottenere privilegi amministrativi completi, assumendo il controllo completo del sistema di comunicazione. Ciò potrebbe portare a un'ampia gamma di attacchi, dall'interruzione dei servizi al furto di dati sensibili o persino all'utilizzo del sistema compromesso per lanciare ulteriori attacchi all'interno di una rete.

La falla di sicurezza interessa le versioni di Cisco Unified CM e Unified CM SME dalla 15.0.1.13010-1 alla 15.0.1.13017-1. Ancora più importante, questa vulnerabilità esiste indipendentemente dalla configurazione del dispositivo, rendendo potenzialmente suscettibile un'ampia gamma di sistemi. Sebbene Cisco abbia scoperto la falla attraverso i propri test di sicurezza interni e non abbia trovato alcuna prova che sia stata sfruttata attivamente, l'estrema gravità richiede un intervento immediato.

Non esistono soluzioni temporanee per mitigare questo rischio. Cisco ha rilasciato aggiornamenti software per correggere la vulnerabilità, consigliando a tutti i clienti interessati di aggiornare i propri sistemi senza indugio. I clienti con contratti di servizio possono ottenere questi aggiornamenti tramite i loro canali abituali, mentre gli altri possono contattare il Centro di Assistenza Tecnica (TAC) di Cisco per un aggiornamento gratuito. È fondamentale che le organizzazioni applichino rapidamente queste patch per proteggere la propria infrastruttura di comunicazione da potenziali compromissioni.

"Innanzitutto, qualsiasi organizzazione che utilizzi questa piattaforma deve aggiornarsi il prima possibile. Inoltre, deve fare riferimento ai dettagli degli indicatori di compromissione forniti nell'avviso di Cisco e attuare immediatamente i propri processi di risposta agli incidenti", ha affermato Ben Ronallo, Principal Cyber ​​Security Engineer di Black Duck, fornitore di soluzioni per la sicurezza delle applicazioni con sede a Burlington, Massachusetts.

"Poiché le credenziali appartengono a un account root (ovvero amministratore), il potenziale di attività dannose è significativo. Un effetto plausibile potrebbe essere che un aggressore sia in grado di modificare il routing di rete per scopi di ingegneria sociale o esfiltrazione di dati", ha avvertito Ben.