Vulnerabilidad Critica en Cisco Unified CM y Unified CM SME

Publicado hace 11 meses 04-07-2025

El 2 de Julio del 2025, Cisco ha revelado una vulnerabilidad crítica en sus plataformas Unified Communications Manager (Unified CM) y Unified Communications Manager Session Management Edition (SME). 

 

Cisco Unified CM es una infraestructura empresarial diseñada para la administración de llamadas y sesiones, optimizando la comunicación y la colaboración en equipo. Esta plataforma integra teléfonos IP registrados, dispositivos móviles, computadoras de escritorio y otros endpoints en una sola plataforma, independientemente de la ubicación del usuario final. Por su parte, su edición Session Management centraliza el plan de marcación y la agregación de troncales, facilitando implementaciones en varios sitios. 

 

Esta vulnerabilidad calificada como CVSS 10 e identificada como CVE-2025-20309 se debe a que las credenciales estáticas, es decir credenciales que no se pueden modificar ni eliminar, del usuario root reservadas para ambientes de desarrollo fueron accidentalmente reveladas a producción. Este descuido expone a los dispositivos afectados, sin importar su configuración, a acceso remoto no autenticado. Una vez que un atacante logre ingresar con privilegios de usuario root, puede ejecutar comandos arbitrarios, comprometiendo la integridad y disponibilidad de la plataforma de comunicaciones afectada. 

 

Como única solución, Cisco ha lanzado actualizaciones de software que corrigen esta vulnerabilidad.  

 

Indicadores de compromiso 

Una explotación exitosa daría como resultado una entrada de log en la ruta /var/log/active/syslog/secure para el usuario root.  

 

Para recuperar los logs, ejecute el siguiente comando desde la CLI: 

cucm1# file get activelog syslog/secure 

 

Si una entrada de log muestra tanto sshd como un inicio de sesión SSH exitoso por parte del usuario root se considera como indicador de compromiso, como se aprecia en el siguiente ejemplo: 

Apr 6 10:38:43 cucm1 authpriv 6 systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0) 

Apr 6 10:38:43 cucm1 authpriv 6 sshd: pam_unix(sshd:session): session opened for user root by (uid=0) 

 

Versiones Afectadas

Versiones afectadas 

Versiones parcheadas 

Cisco Unified CM y Unified CM SME 15.0.1.13010-1 a 15.0.1.13017-1 

15SU3  

Recomendaciones

  • Si cuenta con Cisco Unified CM y Unified CM SME en sus versiones 15.0.1.13010-1 a 15.0.1.13017-1 actualice a la versión 15SU3. 

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

 

Referencias

  1. CISCO. (2025, Julio 2). Cisco Unified Communications Manager Static SSH Credentials Vulnerability. Recuperado el 3 de Julio de 2025, en:  https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssh-m4UBdpE7  
  2. Thomson, I. (2025, Julio 2). Cisco scores a perfect 10 - sadly for a critical flaw in its comms platform. The Register. Recuperado el 3 de Julio de 2025, en:   https://www.theregister.com/2025/07/02/cisco_patch_cvss/  
  3. Daily CyberSecurity. (2025, Julio 3). CVE-2025-20309 (CVSS 10): Cisco Patches Critical Static SSH Root Credential Flaw in Unified CM. Recuperado el 3 de Julio de 2025, en:  https://securityonline.info/cve-2025-20309-cvss-10-cisco-patches-critical-static-ssh-root-credential-flaw-in-unified-cm/  

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 2 días 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más