Cisco a récemment corrigé une vulnérabilité critique dans Unified Communications Manager (Unified CM) et Unified CM SME, qui permettait à un attaquant distant non authentifié d’obtenir un accès root complet sur les serveurs affectés grâce à des identifiants SSH statiques intégrés lors du développement de l’outil. Cette vulnérabilité porte l’identifiant CVE‑2025‑20309 et reçoit un score CVSS 10.0/10, illustrant un risque maximal secureblink.com+8thehackernews.com+8bleepingcomputer.com+8.
1. Un root backdoor intégré
Mécanisme : Cisco a reconnu que les versions affectées (15.0.1.13010‑1 jusqu’à 15.0.1.13017‑1) contenaient un compte root SSH statique réservé à des fins de débogage et non supprimable ni modifiable securityaffairs.com+2thehackernews.com+2bleepingcomputer.com+2.
Impact : Un attaquant peut se connecter en SSH sans authentification, exécuter des commandes arbitraires et prendre le contrôle total du système .
2. Périmètre de l’impact
Produits concernés : Cisco Unified CM et Unified CM SME versions 15.0.1.13010‑1 à 15.0.1.13017‑1, toutes configurations sec.cloudapps.cisco.com+4bleepingcomputer.com+4securityaffairs.com+4.
Portée : La vulnérabilité n’a pas de prérequis d’interaction et est exploitable à distance, rendant n’importe quel serveur Unified CM vulnérable en production sans mesure de limitation d’accès.
3. Réponse et correctifs Cisco
Cisco a immédiatement retiré le compte root statique des versions vulnérables lors d’un patch publié début juillet 2025 secureblink.com+3securityaffairs.com+3bleepingcomputer.com+3.
La mise à jour corrective incluse dans la release 15SU3 (juillet 2025) ou via le patch identifier
CSCwp27755_D0247‑1est disponible uniquement sur Cisco TAC bleepingcomputer.com+1securityaffairs.com+1.Aucun workaround existant : la seule solution est donc le déploiement du correctif thehackernews.com.
4. Détection et indicateurs de compromission (IoC)
Cisco fournit un IoC simple : toute connexion SSH root enregistrée dans
/var/log/active/syslog/secureindique une compromission potentielle bleepingcomputer.com+2thehackernews.com+2securityaffairs.com+2.Pour vérifier, les administrateurs peuvent exécuter la commande CLI :
5. Pourquoi c’est alarmant
Accès root non authentifié → Menace possible pour toute l’infrastructure de téléphonie, y compris l’écoute de communications, la modification de sessions et l’accès au réseau interne.
Pas d’exploitation détectée à ce jour, mais la vulnérabilité étant publique et critique, le risque d’attaque ciblée est imminent securityaffairs.com.
Cisco avait déjà rencontré ce type problème dans d’autres produits (IOS XE, DNA Center…), soulignant un manque récurrent de sécurisation lors des phases de développement bleepingcomputer.com.
6. Recommandations pour les administrateurs
Appliquer immédiatement le patch Cisco 15SU3 ou CSCwp27755_D0247‑1.
Restreindre l’accès SSH au Unified CM en limitant les IP ou en activant des ACLListe définissant les droits d'accès à des ressources. Restreindre l'accès à un fichier à certains groupes utilisateurs. RFC 4949 si le patch ne peut pas être appliqué immédiatement.
Surveiller les logs système
/var/log/active/syslog/securepour toute connexion root.Vérifier la version du système : seules les releases listées sont vulnérables. Les versions 12.5 et 14 ne sont pas affectées bleepingcomputer.com+1securityaffairs.com+1thehackernews.com+1secureblink.com+1securityaffairs.com.
Conclusion
Cette faille démontre qu’un simple identifiant statique oublié en production peut compromettre totalement la sécurité d’une infrastructure critique. Elle renforce la nécessité d’inclure la suppression des backdoors dans les politiques de sécurité et de contrôle des versions distribuées en production.
Sources : The Hacker News , BleepingComputer , SecureAffairs