کشف آسیبپذیری بسیار جدی در نرمافزار سیسکو CUCM
شرکت سیسکو بهتازگی یک حساب کاربری «در پشتی (Back Door)» را در یکی دیگر از نرمافزارهای خود شناسایی کرده است. این آسیبپذیری که با شناسه CVE-2025-20309 معرفی شده، بهدلیل وجود اطلاعات ورود پیشفرض برای حساب اصلی (root) ایجاد شده است و میتواند به مهاجمان اجازه دهد تا از راه دور و بدون احراز هویت، وارد نسخههای آسیبپذیر پلتفرمهای Cisco Unified Communications Manager (Unified CM) و Cisco Unified Communications Manager Session Management Edition (Unified CM SME) شوند. این مهاجمان پس از ورود میتوانند از دسترسی بهدست آمده برای اجرای فرمانهای دلخواه با بالاترین سطح دسترسی (سطح root) استفاده کنند.
درباره آسیبپذیری CVE-2025-20309 و نحوه رفع آن در سیسکو CUCM
حدود ماه گذشته، سیسکو در رویداد سیسکو لایو 2025 تأکید زیادی روی مبحث امنیت سایبری انجام داد و بخش نسبتاً زیادی از زمان این رویداد را به معرفی نوآوریهای جدید در این زمینه اختصاص داد. این موضوع باعث شد تا انتظارها از سیسکو در رابطه با تأمین امنیت محصولات خود در مقابل حملات سایبری و بهخصوص تهدیدات هوش مصنوعی، بیشتر از قبل بالا برود!
پلتفرم Cisco Unified Communications Manager که پیشتر با نام Cisco CallManager شناخته میشد، یک سیستم پردازش مبتنی بر IP است. نسخه Session Management Edition این پلتفرم نیز روی سادهسازی تجمیع سرویسها تمرکز دارد و امکانات لازم را برای مدیریت نشستها و توسعه برنامههای همکاری فراهم میآورد. این نرمافزارها در کسبوکارهای متنوع با اندازههای مختلف مورد استفاده قرار میگیرند و هم بهصورت محلی (On-premises) و هم ابری قابل پیادهسازی هستند.
سیسکو در رابطه با آسیبپذیری CVE-2025-20309 که به این نرمافزارها مربوط است، چنین توضیح داده است:
«آسیبپذیری CVE-2025-20309 بهدلیل وجود اطلاعات ثابت و پیشفرض برای حساب کاربری root ایجاد شده است. این حساب کاربری و اطلاعات مربوط به آن صرفاً در طول فرآیند توسعه نرمافزار مورد استفاده قرار میگیرند».
اطلاعات مورد اشاره سیسکو، قابل تغییر یا حذف نیستند. خوشبختانه این آسیبپذیری طی آزمایشهای امنیتی داخلی سیسکو شناسایی شده است و تاکنون نشانهای مبنی بر کشف یا سوء استفاده مهاجمان از آن گزارش نشده است.
نکتهای که به احتمال زیاد باعث کاهش سوء استفاده از این نقص شده، این است که تنها نسخههای خاصی از نرمافزار سیسکو CUCM تحت تأثیر آن هستند. بهطور دقیقتر باید گفت که این نقص برای نسخه 15.0.1.13010-1 از نرمافزار Cisco Unified CM و نسخه 15.0.1.13017-1 از نرمافزار Cisco Unified CM SME ایجاد شده است؛ آن هم فقط در قالب نسخههای Engineering Special، که نسخههایی محدود و مخصوص رفع مشکل هستند و فقط از طریق مرکز پشتیبانی فنی سیسکو (TAC) توزیع میشوند. این موارد باعث شده تا احتمال پخش شدن گسترده این آسیبپذیری کاهش پیدا کند.
سیسکو همچنین اعلام کرده که اگر در لاگ سیستم یک ورودی خاص وجود داشته باشد، به احتمال زیاد مهاجم از این آسیبپذیری بهرهبرداری کرده است. سیسکو در صفحه مربوط به توضیح این آسیبپذیری در Cisco Security Advisory چنین توضیح داده است:
Successful exploitation would result in a log entry to /var/log/active/syslog/secure for the root user with root permissions. If a log entry both includes sshd and shows a successful SSH login by the user root, it is an IoC.
«در صورت بهرهبرداری موفق، یک لاگ در مسیر /var/log/active/syslog/secure برای کاربر root با دسترسی root ثبت خواهد شد. همچنین اگر یک لاگ ورودی هم شامل sshd باشد و هم یک ورود موفق SSH توسط کاربر root را نشان دهد، باید آن را بهعنوان یک «نشانه نفوذ» تلقی کرد و این موضوع را بسیار جدی گرفت».
به کاربرانی که در معرض این آسیبپذیری قرار گرفتهاند، توصیه شده است تا نرمافزار سیسکو CUCM خود را به 15 Service Update (SU) 3 ارتقا دهند یا فایل پچ ارائه شده توسط سیسکو را نصب کنند. هیچ راهحل جایگزین دیگری برای رفع این آسیب وجود ندارد.
خلاصه این مقاله
سیسکو یک آسیبپذیری را در نرمافزارهای Cisco Unified Communications Manager و Cisco Unified Communications Manager Session Management Edition خود شناسایی کرد. این آسیبپذیری که با شناسه CVE-2025-20309 نامگذاری شده است، از اطلاعات ورود پیشفرض برای حساب کاربری root نشات میگیرد و میتواند به مهاجمان اجازه دهد تا بدون احراز هویت، وارد سیستم شوند و فرمانهایی را با سطح دسترسی بالا اجرا کنند. این آسیبپذیری فقط در نسخههای خاصی از نرمافزار تأثیر دارد و تاکنون نشانهای از سوء استفاده از آن گزارش نشده است. سیسکو برای رفع این مشکل، به کاربران توصیه کرده است نرمافزار خود را به نسخه 15 Service Update (SU) 3 ارت
