Cisco 近日移除了其統一通訊管理器(Unified Communications Manager,簡稱 Unified CM)中的後門帳戶,該漏洞可能讓遠端攻擊者以 root 權限登入未修補的設備。
漏洞詳情與影響範圍
這項編號為 CVE-2025-20309 的漏洞被評為最高嚴重等級,起因於開發與測試階段遺留的 root 帳戶靜態憑證。Cisco 統一通訊管理器(CUCM)前身為 Cisco CallManager,是 Cisco IP 電話系統的核心控制系統,負責通話路由、設備管理及電話功能。
根據 Cisco 近日發布的資安公告,CVE-2025-20309 影響 Cisco Unified CM 和 Unified CM SME Engineering Special(ES)版本 15.0.1.13010-1 至 15.0.1.13017-1,不論設備配置為何皆受影響。
Cisco 表示,此漏洞目前沒有替代解決方案。管理者只能透過以下方式修復漏洞並移除後門帳戶:
- 升級至 Cisco Unified CM 和 Unified CM SME 15SU3(2025年7月版本)
- 套用 CSCwp27755 修補程式
Cisco 在公告中說明:「Cisco 統一通訊管理器中的漏洞可能讓未經驗證的遠端攻擊者使用具有預設靜態憑證的 root 帳戶登入受影響設備,且這些憑證無法更改或刪除。」。
攻擊後果與檢測方法
成功利用此漏洞後,攻擊者可存取脆弱系統並以 root 權限執行任意指令。雖然 Cisco 產品安全事件回應團隊(PSIRT)尚未發現線上概念驗證程式碼或實際攻擊案例,但公司已發布入侵指標協助識別受影響設備。
Cisco 指出,CVE-2025-20309 的利用會在
/var/log/active/syslog/secure 中產生 root 使用者的日誌記錄。由於此事件記錄預設啟用,管理者可執行以下指令檢索日誌以尋找利用嘗試:
file get activelog syslog/secureCisco
產品頻傳後門漏洞
這並非 Cisco 近年首次需要移除產品中的後門帳戶。過去曾在 IOS XE、Wide Area Application Services(WAAS)、Digital Network Architecture(DNA)Center 及 Emergency Responder 軟體中發現硬編碼憑證。
今年稍早,Cisco 於4月警告管理者修補 Cisco Smart Licensing Utility(CSLU)的重大漏洞,該漏洞暴露了攻擊中使用的內建後門管理帳戶。一個月後,公司移除了硬編碼的 JSON Web Token(JWT),該權杖允許未經驗證的遠端攻擊者接管 IOS XE 設備。
延伸閱讀:中國駭客組織「鹽颱風」近期大規模攻擊思科設備,全球電信商成主要目標
資安建議
鑑於此漏洞的嚴重性及缺乏替代解決方案,建議使用受影響版本的企業應立即:
- 評估設備清單:確認網路中是否有受影響的 Cisco Unified CM 版本
- 監控日誌記錄:定期檢查系統日誌以偵測可疑的 root 帳戶登入活動
- 優先升級:將修補此漏洞列為最高優先級,儘快升級至安全版本
- 加強監控:在完成修補前,強化網路監控與存取控制措施
本文轉載自bleepingcomputer。