Önde gelen bir ağ donanım şirketi olan Cisco, Birleşik İletişim Yöneticisi (Unified CM) ve Birleşik İletişim Yöneticisi Oturum Yönetimi Sürümü’nde (Unified CM KOBİ) ciddi bir güvenlik açığını ele almak için acil bir güvenlik uyarısı yayınladı ve güncellemeler yayınladı. CVE-2025-20309 olarak tanımlanan bu kritik kusur, mümkün olan en yüksek şiddet derecesini, 10.0 CVSS skorunu taşır, bu da yıkıcı sonuçlarla kolayca kullanılabileceğini gösterir.
Tehdidi anlamak
Güvenlik açığı, Cisco tarafından danışmanlığında belirtildiği gibi, “geliştirme sırasında kullanım için ayrılmış kök hesabı için statik kullanıcı kimlik bilgileri” nden kaynaklanmaktadır. Daha basit terimlerle, bu sistemler, kök kullanıcı olarak bilinen süper kullanıcı bir hesabı için değişmeyen bir kullanıcı adı ve şifre ile bir sır olarak gönderildi. Kök kullanıcısı, herhangi bir komutu yürütebilen ve tüm dosyalara erişebilen bir sistem üzerinde tam bir kontrole sahiptir. Çünkü bu kimlik bilgileri statikyani değişmezler ve kullanıcılar tarafından silinemezler, bu nedenle sabit bir arka kapı sunarlar.
Bir saldırgan, bu sert kodlanmış kimlik bilgilerini, herhangi bir kimlik doğrulamasına ihtiyaç duymadan etkilenen bir cihaza uzaktan oturum açmak için kullanabilir. Kök kullanıcı olarak oturum açtıktan sonra, iletişim sisteminin tam kontrolünü ele geçirmelerine izin vererek tam idari ayrıcalıklar kazanabilirler. Bu, hizmetleri bozmadan hassas verileri çalmaya veya hatta bir ağda daha fazla saldırı başlatmak için tehlikeye atılan sistemi kullanmaya kadar çok çeşitli saldırılara yol açabilir.
Etkilenen sistemler ve çözümler
Güvenlik kusuru, Cisco Unified CM ve 15.0.1.13010-1 ile 15.0.1.13017-1 arasında değişen birleşik CM KOBİ versiyonlarını etkiler. Daha da önemlisi, bu güvenlik açığı, cihazın nasıl yapılandırıldığına bakılmaksızın mevcuttur, bu da geniş bir sistem yelpazesini potansiyel olarak duyarlı hale getirir. Cisco, kusurları kendi iç güvenlik testi ile keşfetmiş ve vahşi doğada aktif olarak sömürüldüğüne dair herhangi bir kanıt bulamamış olsa da, aşırı şiddet acil eylemi gerektirir.
Bu riski azaltmak için geçici geçici çözümler yoktur. Cisco, güvenlik açığını düzeltmek için yazılım güncellemeleri yayınladı ve etkilenen tüm müşterilere sistemlerini gecikmeden yükseltmelerini tavsiye etti. Hizmet sözleşmeleri olan müşteriler bu güncellemeleri olağan kanalları aracılığıyla alabilirken, diğerleri ücretsiz bir yükseltme için Cisco’nun Teknik Yardım Merkezi (TAC) ile iletişime geçebilir. Kuruluşların bu yamaları iletişim altyapılarını potansiyel uzlaşmadan korumak için hızla uygulamaları çok önemlidir.
Burlington, Massachusetts merkezli uygulama güvenliği sağlayıcısı Black Duck’taki Ben Ronallo, “Her şeyden önce, bu platformu kullanan herhangi bir kuruluşun mümkün olan en kısa sürede yükseltmesi gerekiyor. Ayrıca, Cisco Danışmanında sağlanan uzlaşma detaylarının göstergelerine atıfta bulunmaları ve olay müdahale süreçlerini hemen yürürlüğe koymaları gerekiyor” dedi.
Ben, “Kimlik bilgileri bir kök (yani yönetici) hesabına ait olduğundan, kötü niyetli etkinlik potansiyeli önemlidir. Bunun makul bir etkisi, bir saldırganın sosyal mühendislik veya veri açığa çıkması için ağ yönlendirmesini değiştirebilmesi olabilir” diye uyardı.