"¿Hola, es root?" — la telefonía de Cisco puede no responderle a usted

La empresa Cisco ha solucionado una vulnerabilidad crítica en el sistema de gestión de telefonía corporativa Unified Communications Manager (Unified CM), que podría permitir a los atacantes obtener control total sobre los dispositivos gracias a una cuenta integrada con privilegios de superusuario.

Unified CM, anteriormente conocido como Cisco CallManager, es un componente clave de la telefonía IP de Cisco, encargado de enrutar llamadas, gestionar dispositivos y otras funciones de comunicación en grandes organizaciones. La reciente vulnerabilidad, registrada bajo el número CVE-2025-20309, recibió una puntuación CVSS de 10.0 debido a la presencia de credenciales estáticas para la cuenta root, que los desarrolladores dejaron durante las pruebas.

Según la advertencia publicada por Cisco, la vulnerabilidad afecta a las versiones de Unified CM y Unified CM SME Engineering Special (ES) desde la 15.0.1.13010-1 hasta la 15.0.1.13017-1 inclusive, independientemente de la configuración del dispositivo. Además, la empresa no ofrece soluciones temporales para mitigar el problema. La única forma de protegerse es actualizar a la versión Cisco Unified CM y Unified CM SME 15SU3, cuyo lanzamiento está previsto para julio de 2025, o instalar el parche especial CSCwp27755, disponible para su descarga.

Los especialistas de Cisco explicaron que la vulnerabilidad permite a un atacante remoto no autenticado acceder al dispositivo afectado utilizando la cuenta root con contraseñas predefinidas, inalterables e ineliminables. Tras explotar con éxito esta vulnerabilidad, los atacantes pueden ejecutar comandos arbitrarios con privilegios de superusuario, lo que les otorga control total sobre el sistema.

Aunque, por el momento, según el equipo de seguridad de Cisco PSIRT, no se tiene conocimiento de la existencia de código malicioso listo para ser utilizado o de ataques registrados que exploten esta vulnerabilidad, la empresa ha publicado un conjunto de indicadores de compromiso. Con su ayuda, los administradores pueden determinar si sus dispositivos han sido objeto de intentos de ataque.

Así, tras la explotación de la vulnerabilidad, en el registro de seguridad del sistema ubicado en /var/log/active/syslog/secure, se registra un evento de inicio de sesión con la cuenta root y los privilegios correspondientes. Dado que el registro de este evento está habilitado por defecto, los administradores pueden comprobar los dispositivos ejecutando el siguiente comando desde la consola: file get activelog syslog/secure.

Este no es ni mucho menos el primer caso de descubrimiento de cuentas integradas similares en los productos de Cisco. En los últimos años, la empresa ha solucionado problemas similares en sus sistemas IOS XE, soluciones de optimización WAN (WAAS), la plataforma de infraestructura digital DNA Center y el software Emergency Responder.

En la primavera de 2025, Cisco ya instó a actualizar urgentemente el sistema Smart Licensing Utility (CSLU) debido a la presencia de una cuenta de administrador integrada que se estaba utilizando activamente en ataques. Un mes después, la empresa corrigió otra vulnerabilidad: un token integrado JSON Web Token (JWT), mediante el cual los atacantes remotos podían tomar el control de dispositivos con el sistema operativo IOS XE.