Cisco publica una solución de emergencia para una falla crítica de credenciales raíz en Unified CM

Cisco, empresa líder en hardware de redes, ha emitido una alerta de seguridad urgente y publicado actualizaciones para abordar una vulnerabilidad grave en Unified Communications Manager (Unified CM) y Unified Communications Manager Session Management Edition (Unified CM SME). Esta vulnerabilidad crítica, identificada como CVE-2025-20309 , tiene la máxima calificación de gravedad (10,0 en CVSS), lo que indica que puede explotarse fácilmente con consecuencias devastadoras.

La vulnerabilidad se debe a las "credenciales de usuario estáticas para la cuenta raíz, reservadas para su uso durante el desarrollo", según lo indicado por Cisco en su aviso . En resumen, estos sistemas se entregaron con un nombre de usuario y una contraseña secretos e inmutables para una cuenta de superusuario, conocida como usuario raíz. Un usuario raíz tiene control total sobre el sistema, pudiendo ejecutar cualquier comando y acceder a todos los archivos. Dado que estas credenciales son estáticas (es decir, no cambian ni pueden ser eliminadas por los usuarios), representan una puerta trasera constante.

Un atacante podría usar estas credenciales codificadas para iniciar sesión remotamente en un dispositivo afectado sin necesidad de autenticación previa. Una vez iniciada la sesión como usuario root, podría obtener privilegios administrativos completos, lo que le permitiría tomar el control total del sistema de comunicación. Esto podría dar lugar a una amplia gama de ataques, desde la interrupción de servicios hasta el robo de datos confidenciales o incluso el uso del sistema comprometido para lanzar nuevos ataques dentro de una red.

La falla de seguridad afecta a las versiones de Cisco Unified CM y Unified CM SME, desde la 15.0.1.13010-1 hasta la 15.0.1.13017-1. Es más, esta vulnerabilidad existe independientemente de la configuración del dispositivo, lo que hace que una amplia gama de sistemas sean potencialmente vulnerables. Si bien Cisco descubrió la falla mediante sus propias pruebas de seguridad internas y no ha encontrado evidencia de que se esté explotando activamente, su extrema gravedad exige una acción inmediata.

No existen soluciones temporales para mitigar este riesgo. Cisco ha publicado actualizaciones de software para corregir la vulnerabilidad y recomienda a todos los clientes afectados que actualicen sus sistemas sin demora. Los clientes con contratos de servicio pueden obtener estas actualizaciones a través de sus canales habituales, mientras que otros pueden contactar con el Centro de Asistencia Técnica (TAC) de Cisco para obtener una actualización gratuita. Es crucial que las organizaciones apliquen estos parches rápidamente para proteger su infraestructura de comunicaciones de posibles vulnerabilidades.

“Ante todo, cualquier organización que utilice esta plataforma debe actualizarse lo antes posible. Además, deben consultar los indicadores de vulnerabilidad que se detallan en el aviso de Cisco e implementar de inmediato sus procesos de respuesta ante incidentes”, afirmó Ben Ronallo, ingeniero principal de ciberseguridad de Black Duck, proveedor de soluciones de seguridad de aplicaciones con sede en Burlington, Massachusetts.

Dado que las credenciales pertenecen a una cuenta raíz (es decir, de administrador), el potencial de actividad maliciosa es significativo. Un posible efecto de esto podría ser que un atacante pueda modificar el enrutamiento de la red con fines de ingeniería social o exfiltración de datos, advirtió Ben.