Cisco a corrigé une faille de gravité maximale dans ses produits Unified Communications Manager (Unified CM) et Session Management Edition (Unified CM SME) qui pourrait permettre à des attaquants d'entrer directement dans le système en utilisant un login root codé en dur. Selon le géant des communications d'entreprise, ces identifiants statiques uniquement destinés à un usage interne ont été laissés par erreur dans une série de versions logicielles distribuées à quelques clients via des canaux de support officiels. « Cette vulnérabilité est due à la présence d'informations d'identification statiques pour le compte root normalement réservées à une utilisation pendant le développement », a déclaré Cisco dans un avis de sécurité. « Une exploitation réussie pourrait permettre à l'attaquant de se connecter au système concerné et d'exécuter des commandes arbitraires en tant qu'utilisateur root ». Même si le problème est limité à un lot de versions Engineering Special (ES), il n'y a aucun moyen d'atténuer la faille sans appliquer un correctif. Cisco a publié un correctif et recommande vivement à ses clients de procéder immédiatement à une mise à niveau.

Possibilité d'accès root avec une sévérité maximale

La faille référencée CVE-2025-20309 est liée à une erreur de codage. Le compte utilisateur root sur les versions Engineering Special vulnérables était préchargé avec des identifiants de connexion SSH (Secure Shell) par défaut qui ne pouvaient être ni modifiés ni supprimés. Toute personne connaissant ces identifiants (ou faisant de l'ingénierie inverse) peut les utiliser pour accéder à distance au système avec tous les privilèges d’administration, si bien que la faille a été affectée du score CVSS 10 sur 10, soit le niveau de gravité le plus élevé. Les informations d'identification, initialement destinées à des fins de développement uniquement, ont été livrées par inadvertance dans certaines versions ES de Unified CM 15.0.1, en particulier les versions 13010-1 à 13017-1. Ces versions ont été distribuées par le centre d'assistance technique Technical Assistance Center de Cisco et n'étaient pas largement disponibles, ce qui a limité l'exposition, mais pas la gravité. Les produits concernés - Cisco Unified CM et Unified CM SME - sont des composants essentiels de l'infrastructure de téléphonie d'entreprise, largement déployés dans les agences gouvernementales, les institutions financières et les grandes entreprises pour gérer la voix, la vidéo et la messagerie à grande échelle. En exploitant cette faille, des attaquants pourraient compromettre les communications d'une organisation. Ils pourraient notamment se connecter à distance avec des droits d’administration complets pour intercepter les appels, installer des portes dérobées et perturber les services critiques.

Des astuces pour repérer l'exploitation

Selon l’avis de Cisco, il n’y a aucune exploitation de la faille dans la nature, mais l’entreprise a indiqué une méthode pour détecter les compromissions. Les connexions réussies via le compte root laisseraient des traces dans les journaux système situés dans « /var/log/active/syslog/secure ». L'avis inclut même un exemple d'extrait de journal pour montrer à quoi pourrait ressembler la session SSH d'un attaquant. L'entreprise a déclaré que l'exploit ne nécessitait aucune configuration de l'appareil et qu'il n'existait aucune solution pour atténuer le risque, hormis la mise à niveau. Les clients sans contrat de service peuvent toujours demander la correction, à condition de communiquer le numéro de série de leur appareil et un lien vers l'avis. Cette faille, découverte lors d'un test de sécurité interne, est le deuxième bogue de gravité maximale signalé par Cisco en l'espace d'une semaine, le premier étant une faille de validation d'entrée insuffisante affectant les plateformes d'identité et de contrôle d'accès de Cisco, permettant une exécution de code à distance ou RCE (Remote Code Execution) en tant qu'utilisateur root.