CVE-2025-20309: Vulnerabilidad crítica en Cisco Unified Communications Manager

Descripción

Esta vulnerabilidad se debe a la presencia de credenciales estáticas para la cuenta root (usuario y contraseña fijas, reservadas para desarrollo) que no pueden ser modificadas ni eliminadas por los administradores.
Un atacante remoto y no autenticado puede utilizar estas credenciales para acceder al sistema afectado a través de SSH y obtener privilegios de superusuario (root), permitiendo la ejecución de cualquier comando y el control total del sistema.
El fallo afecta únicamente a ciertas versiones ES distribuidas por Cisco TAC; las versiones estándar y actualizaciones de servicio no están afectadas.

Facilidad de explotación

• Complejidad: Muy baja. El atacante solo necesita acceso a la red de gestión y conocer/descubrir las credenciales estáticas (que son iguales en todos los sistemas afectados).
• Requisitos previos: Ninguno. No requiere autenticación previa ni interacción del usuario.
• Vector: Acceso remoto vía SSH a la interfaz de administración del sistema.
• Impacto: Compromiso total del sistema, ejecución remota de comandos, exfiltración de datos, interrupción de servicios y posible movimiento lateral en la red.
• Estado de explotación: No se han detectado ataques activos hasta la fecha, pero la facilidad de explotación y el impacto hacen probable que se explote en breve.

Indicadores de compromiso

• Entradas en /var/log/active/syslog/secure mostrando inicio de sesión SSH exitoso con el usuario root.
• Comandos ejecutados como root sin justificación administrativa.

Solución y mitigación

• Actualizar inmediatamente a la versión 15SU3 (julio 2025) o aplicar el parche oficial proporcionado por Cisco.
• No existen soluciones alternativas ni mitigaciones temporales.
• Limitar el acceso SSH solo a redes y dispositivos de administración de confianza.
• Monitorizar los logs de acceso y actividad sospechosa.