JarTee – shutterstock.com
Cisco meldete kürzlich eine Schwachstelle mit höchster Schweregradbewertung (CVSS 10 von 10) in seinen Produkten Unified Communications Manager (Unified CM) und Session Management Edition (Unified CM SME). Die betroffenen Lösungen sind Kernkomponenten der TK-Infrastruktur und werden in Behörden, Finanzinstituten und großen Unternehmen für die Verwaltung von Sprach-, Video- und Messaging-Diensten in großem Umfang eingesetzt.
„Diese Sicherheitslücke ist auf die Verwendung statischer Benutzeranmeldedaten für das Root-Konto zurückzuführen, die für Entwicklungszwecke reserviert sind“, erklärte der Tech-Riese in einer Sicherheitsempfehlung. „Nach einem erfolgreichen Angriff könnte sich der Bedrohungsakteur darüber bei dem betroffenen System anmelden und beliebige Befehle als Root-Benutzer ausführen.“
Das Problem ist zwar auf eine Reihe von Engineering Special (ES)-Versionen beschränkt, aber es gibt keine Möglichkeit, die Schwachstelle ohne die Installation eines Patches zu beheben. Cisco hat einen Fix veröffentlicht und fordert seine Kunden dringend auf, sofort ein Upgrade durchzuführen.
Root-Zugriff mit höchster Schweregradstufe möglich
Das Problem (CVE-2025-20309) ist auf einen Fehler in der Programmierung zurückzuführen. So war das Root-Benutzerkonto auf den anfälligen ES-Builds mit standardmäßigen Secure-Shell- (SSH)-Anmeldedaten vorinstalliert, die nicht geändert oder entfernt werden konnten. Jeder, der die Anmeldedaten kennt (oder zurücksetzt), könnte sie verwenden, um mit vollständigen Administratorrechten remote auf das System zuzugreifen. Deshalb wurde die Schwachstelle mit dem höchsten Schweregrad bewertet.
Die Anmeldedaten, die ursprünglich nur für Entwicklungszwecke gedacht waren, wurden versehentlich in bestimmten ES-Builds von Unified CM 15.0.1, insbesondere in den Versionen 13010-1 bis 13017-1, ausgeliefert. Diese Builds wurden vom Technical Assistance Center von Cisco verteilt und waren nicht allgemein verfügbar. Dadurch ist die Gefährdung zwar begrenzt, jedoch nicht die Schwere der Sicherheitslücke.
Cisco gibt Tipps zum Erkennen von Angriffen
Nach Aussagen von Cisco wurden in diesem Zusammenhang aber bislang keine Angriffe beobachtet. Dennoch stellte das Unternehmen eine Methode zur Erkennung von Kompromittierungen für seine Kunden bereit. Erfolgreiche Anmeldungen über das Root-Konto würden Spuren in den Systemprotokollen unter „/var/log/active/syslog/secure“ hinterlassen, heißt es.
Der Hinweis enthält zudem einen Beispiel-Log-Ausschnitt, der zeigt, wie die SSH-Sitzung eines Angreifers aussehen könnte.
Der Anbieter erklärte, dass der Exploit keine Gerätekonfiguration erfordert und dass es außer einem Upgrade keine Abhilfe gibt, um das Risiko zu mindern. Kunden ohne Servicevertrag können den Fix trotzdem anfordern, sofern sie die Seriennummer ihres Geräts und einen Link zum Hinweis angeben.
Der Fehler, der bei internen Sicherheitstests entdeckt wurde, ist der zweite Fehler mit höchster Schweregradbewertung, den Cisco innerhalb einer Woche gemeldet hat. Der erste war ein unzureichender Fehler bei der Eingabevalidierung, der die Identitäts- und Zugriffskontrollplattformen von Cisco betraf und RCE als Root-Benutzer ermöglichte. (jm)