Vulnérabilité critique dans CISCO Unified Communications Manager
Score CVSS :
10
Date de publication :
2/7/2025
Date de dernière mise à jour :
2/7/2025
.png)
Produits concernés
- Cisco Unified CM & Unified CM SME Engineering Special (ES) versions 15.0.1.13010-1 à 15.0.1.13017-1
Prérequis
- Accès SSH à la machine
Risques
- Compromission des communications
- Accès à des informations sensibles
- Latéralisation dans le réseau interne
Résumé
CISCO a publié un avis de sécurité sur une vulnérabilité critique affectant ses solutions Unified CM et Unified CM SME Engineering Special (ES) permettant de récupérer des identifiants administrateur valides sur le système.
Ces identifiants, initialement destinés à un usage interne durant la phase de développement, n’ont pas été correctement supprimés avant la mise en production.
Un attaquant pourrait exploiter cette vulnérabilité pour avoir un accès privilégié à la machine puis se latéraliser au sein du réseau interne.
Cette vulnérabilité a été découverte par l’éditeur et aucune trace d’exploitation ni preuve de concept n’ont été identifiées.
Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre.
- CVE-2025-20309 : La présence d’identifiants statiques non modifiables ni supprimables, associés au compte root dans Cisco Unified Communications Manager (Unified CM) et Cisco Unified Communications Manager Session Management Edition (Unified CM SME), permet à un utilisateur non authentifié de récupérer le mot de passe du compte administrateur de la machine. Cette vulnérabilité permettant de se connecter au système ciblé et d’exécuter du code avec des privilèges élevés.
Ces identifiants, initialement destinés à un usage interne durant la phase de développement, n’ont pas été correctement supprimés avant la mise en production.
Un attaquant pourrait exploiter cette vulnérabilité pour avoir un accès privilégié à la machine puis se latéraliser au sein du réseau interne.
Cette vulnérabilité a été découverte par l’éditeur et aucune trace d’exploitation ni preuve de concept n’ont été identifiées.
Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre.
Solutions
Détection de la compromission :
Une exploitation réussie entraînera la création d’une entrée dans le journal /var/log/active/syslog/secure pour l’utilisateur root avec les permissions root. La journalisation de cet événement est activée par défaut.
Pour récupérer les journaux, exécutez la commande suivante depuis l’interface CLI :
cucm1# file get activelog syslog/secure
Si une entrée de journal contient à la fois sshd et indique une connexion SSH réussie par l’utilisateur root, il s’agit d’un IoC (indice de compromission), comme illustré dans l’exemple suivant :
Remédiation :
Cisco Unified CM and Unified CM SME Release version 12.5 et 14 ne sont pas vulnérables.
Pour les versions 15.0.1.13010-1 à 15.0.1.13017-1, mettre à jour vers la version 15SU3 (Jul 2025) ou appliquer le correctif présent dans la documentation Cisco (cf. références).
Mitigations :
Renforcer le filtrage de l’accès au service SSH de la machine.
Une exploitation réussie entraînera la création d’une entrée dans le journal /var/log/active/syslog/secure pour l’utilisateur root avec les permissions root. La journalisation de cet événement est activée par défaut.
Pour récupérer les journaux, exécutez la commande suivante depuis l’interface CLI :
cucm1# file get activelog syslog/secure
Si une entrée de journal contient à la fois sshd et indique une connexion SSH réussie par l’utilisateur root, il s’agit d’un IoC (indice de compromission), comme illustré dans l’exemple suivant :
Apr 6 10:38:43 cucm1 authpriv 6 systemd: pam_unix(systemd-user:session): sessio opened for user root by (uid=0)
Apr 6 10:38:43 cucm1 authpriv 6sshd: pam_unix(sshd:session): session opened for userroot by (uid=0)Remédiation :
Cisco Unified CM and Unified CM SME Release version 12.5 et 14 ne sont pas vulnérables.
Pour les versions 15.0.1.13010-1 à 15.0.1.13017-1, mettre à jour vers la version 15SU3 (Jul 2025) ou appliquer le correctif présent dans la documentation Cisco (cf. références).
Mitigations :
Renforcer le filtrage de l’accès au service SSH de la machine.
Restez informés des dernières menaces !
Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.
Merci pour votre inscription !
Oups ! Une erreur est survenue lors de l'envoi du formulaire.
