Root-Zugriff mit höchster Schweregradstufe möglich
Das Problem (CVE-2025-20309) ist auf einen Fehler in der Programmierung zurückzuführen. So war das Root-Benutzerkonto auf den anfälligen ES-Builds mit standardmäßigen Secure-Shell- (SSH)-Anmeldedaten vorinstalliert, die nicht geändert oder entfernt werden konnten. Jeder, der die Anmeldedaten kennt (oder zurücksetzt), könnte sie verwenden, um mit vollständigen Administratorrechten remote auf das System zuzugreifen. Deshalb wurde die Schwachstelle mit dem höchsten Schweregrad bewertet.
Die Anmeldedaten, die ursprünglich nur für Entwicklungszwecke gedacht waren, wurden versehentlich in bestimmten ES-Builds von Unified CM 15.0.1, insbesondere in den Versionen 13010-1 bis 13017-1, ausgeliefert. Diese Builds wurden vom Technical Assistance Center von Cisco verteilt und waren nicht allgemein verfügbar. Dadurch ist die Gefährdung zwar begrenzt, jedoch nicht die Schwere der Sicherheitslücke.
Cisco gibt Tipps zum Erkennen von Angriffen
Nach Aussagen von Cisco wurden in diesem Zusammenhang aber bislang keine Angriffe beobachtet. Dennoch stellte das Unternehmen eine Methode zur Erkennung von Kompromittierungen für seine Kunden bereit. Erfolgreiche Anmeldungen über das Root-Konto würden Spuren in den Systemprotokollen unter „/var/log/active/syslog/secure“ hinterlassen, heißt es.
