Cisco znowu z idealną oceną 10 na 10... w skali zagrożenia

Cisco zmaga się z kolejną poważną wpadką w zakresie bezpieczeństwa. Firma właśnie wydała pilną poprawkę bezpieczeństwa dla użytkowników specjalnej wersji Cisco Unified Communications Manager (Unified CM) oraz jego edycji Session Management Edition (SME).

Powodem jest krytyczna luka oznaczona jako CVE-2025-20309, której skala została oceniona na maksymalne 10,0 w skali CVSS – co oznacza najgroźniejsze możliwe zagrożenie.

Co się stało? Zakodowane dane uwierzytelniające odkryte w kodzie

Wszystko zaczęło się od błędu popełnionego w tzw. Engineering Special releases (ES) – specjalnych, niestandardowych kompilacjach systemu Unified CM i SME. Jak przyznała sama firma Cisco, w tych wersjach pozostawiono zakodowane na stałe dane uwierzytelniające, które – co gorsza – nie mogą zostać zmienione ani usunięte. Ich obecność miała, według Cisco, ułatwić procesy deweloperskie.

Efekt? Każdy nieautoryzowany użytkownik, który zidentyfikuje w systemie konto deweloperskie, może wykorzystać te dane i uzyskać pełne uprawnienia roota, czyli całkowitą kontrolę nad systemem.

Cisco nie ukrywa powagi sytuacji: „Nie ma obejścia tego problemu. Jedynym skutecznym rozwiązaniem jest jak najszybsza aktualizacja do najnowszej wersji kodu” – przekazała firma w oficjalnym komunikacie.

Kto jest zagrożony? Lista wersji z luką

Luka dotyczy pakietów Cisco Unified CM i Unified CM SME Engineering Special w wersjach od 15.0.1.13010-1 do 15.0.1.13017-1. Administratorzy tych systemów muszą niezwłocznie pobrać poprawkę, dostępną za pośrednictwem Cisco Technical Assistance Center (TAC). Co istotne, poprawka nie jest publicznie dostępna – wymaga autoryzowanego dostępu przez konto Cisco.

Jak sprawdzić, czy system był już celem ataku?

Cisco zaleca administratorom natychmiastowe przejrzenie logów systemowych w celu wykrycia potencjalnego naruszenia. Kluczowy jest plik:

/var/log/active/syslog/secure

Można go pobrać komendą:

cucm1# file get activelog syslog/secure

Szczególną uwagę należy zwrócić na wpisy wskazujące na aktywność demona sshd oraz udane logowania jako root. Jeśli takie logi się pojawią – to sygnał alarmowy, że system mógł już zostać przejęty.

To już kolejna wpadka Cisco w krótkim czasie

Niepokojące jest, że to już trzecia poważna luka w produktach Cisco w ciągu zaledwie tygodnia – i druga z oceną 10,0 w skali CVSS. 26 czerwca firma łatała dwa inne krytyczne błędy w systemie Cisco Identity Services Engine (ISE) i jego komponencie Passive Identity Connector, gdzie jeden z błędów także pozwalał na uzyskanie uprawnień roota. Drugi miał ocenę CVSS 9.8 – niewiele mniej poważną.

W branży coraz częściej mówi się o konieczności reorganizacji wewnętrznych procesów bezpieczeństwa w Cisco, zwłaszcza w kontekście produktów klasy korporacyjnej, wykorzystywanych przez kluczowe instytucje, firmy i operatorów telekomunikacyjnych.

Co to oznacza dla użytkowników?

Dla firm i instytucji korzystających z Unified CM w wersji Engineering-Special konsekwencje mogą być poważne. Cisco Unified Communications Manager to zintegrowana platforma do obsługi telefonii IP, wideokonferencji, wiadomości błyskawicznych, poczty głosowej i statusów Presence, a więc kluczowy element infrastruktury komunikacyjnej wielu organizacji.

Dostęp roota dla nieautoryzowanego użytkownika może oznaczać:

• pełną kontrolę nad komunikacją głosową i wideo,

• możliwość podsłuchiwania lub przechwytywania połączeń,

• infekcję całej infrastruktury złośliwym oprogramowaniem,

• całkowite przejęcie sieci.