漏洞概况数字通信技术巨头思科(Cisco)近日修复了其统一通信管理器(Unified Communications Manager,简称Unified CM)中存在的一个静态SSH凭证漏洞。该漏洞编号为CVE-2025-20309(CVSS评分为10分),存在于思科统一通信管理器及其会话管理版(Session Management Edition)中,允许远程攻击者使用开发阶段设置的硬编码root凭证登录系统。思科统一通信管理器(CUCM)是思科开发的企业级语音、视频、消息和移动通信呼叫处理系统。
漏洞危害这些静态凭证无法被修改或删除。如果攻击者利用此漏洞,他们可以获取完整的root权限访问系统并执行任意命令。由于无需任何认证,这对受影响设备构成了严重威胁。
思科在安全公告中指出:"思科统一通信管理器(Unified CM)和思科统一通信管理器会话管理版(Unified CM SME)中存在漏洞,可能允许未经身份验证的远程攻击者使用root账户登录受影响设备,该账户具有无法更改或删除的默认静态凭证。此漏洞源于root账户保留了开发阶段使用的静态用户凭证。攻击者可以利用该账户登录受影响系统来利用此漏洞。成功利用可能允许攻击者以root用户身份登录受影响系统并执行任意命令。"
修复措施思科已通过从其统一通信管理器(Unified CM)中移除后门账户的方式解决了该问题。
该漏洞影响思科统一通信管理器和统一通信管理器会话管理版工程特别版本15.0.1.13010-1至15.0.1.13017-1,无论配置如何。这些ES版本是仅通过思科技术支持中心(TAC)共享的有限修复版本。
目前没有针对该漏洞的临时解决方案。思科建议管理员升级到适当的修复软件版本:
思科统一通信管理器和统一通信管理器会话管理版版本首个修复版本12.5不受影响14不受影响15.0.1.13010-1至15.0.1.13017-1115SU3(2025年7月)或应用补丁文件:ciscocm.CSCwp27755_D0247-1.cop.sha512需要注意的是,仅列出的ES版本系列存在漏洞,任何版本的常规服务更新(SUs)均不受影响。
当前状况好消息是,思科产品安全事件响应团队(PSIRT)尚未发现任何在野利用此漏洞的攻击活动。
检测方法思科提供了用于检测可能受此漏洞影响设备的入侵指标(IoCs)。一个关键入侵指标是root用户成功通过SSH登录,这会在系统日志(/var/log/active/syslog/secure)中留下记录。
默认情况下已启用此日志记录功能。管理员可使用以下CLI命令进行检查:
file get activelog syslog/secure
在日志中查找同时显示sshd和root登录会话的条目。
参考来源:
Cisco removed the backdoor account from its Unified Communications Manager