Cisco, bir Birleşik İletişim Yöneticisi’nden (Unified CM) bir arka kapı hesabını kaldırdı, bu da uzak saldırganların kök ayrıcalıklarına sahip olmayan cihazlara giriş yapmasına izin verecekti.
Daha önce Cisco Callmanager olarak bilinen Cisco Unified Communications Manager (CUCM), Cisco’nun IP Telefon Sistemleri, Çağrı Yönlendirme, Cihaz Yönetimi ve Telefon Özellikleri için Merkezi Kontrol Sistemi olarak hizmet vermektedir.
Güvenlik açığı (CVE-2025-20309 olarak izlendi) maksimum şiddet olarak derecelendirildi ve kök hesabı için geliştirme ve test sırasında kullanılmak üzere tasarlanan statik kullanıcı kimlik bilgilerinden kaynaklandı.
Çarşamba günü yayınlanan bir Cisco Güvenlik Danışmanlığına göre, CVE-2025-20309, Cisco Unified CM ve birleşik CM KOBİ Mühendislik Özel (ES), cihaz konfigürasyonundan bağımsız olarak 15.0.1.130101-1 ila 15.0.1.13017-1 sürümlerini etkiliyor.
Şirket, güvenlik açığını ele alan hiçbir geçici çözüm olmadığını da sözlerine ekledi. Yöneticiler, Kusur’u düzeltebilir ve savunmasız cihazları Cisco Unified CM ve Unified CM KMO 15SU3’e (Temmuz 2025) yükselterek veya burada bulunan CSCWP27755 Patch dosyasını uygulayarak arka kapı hesabını kaldırabilir.
“Cisco Unified Communications Manager’da (Unified CM) ve Cisco Unified Communications Management Oturum Yönetimi Edition’da (Unified CM KOBİ) bir güvenlik açığı, kimlik doğrulanmamış, uzak bir saldırganın kök kullanılarak etkilenen bir cihazda oturum açmasına izin verebilir. Cisco, değiştirilemeyen veya silinemeyen varsayılan, statik kimlik bilgilerine sahip olan hesap. “
Başarılı bir sömürü takiben, saldırganlar savunmasız sistemlere erişebilir ve kök ayrıcalıklarıyla keyfi komutlar yürütebilirler.
Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT) henüz çevrimiçi olarak mevcut olan kavram kanıtı kodunun veya saldırılarda sömürünün farkında olmasa da, şirket etkilenen cihazların belirlenmesine yardımcı olmak için uzlaşma göstergeleri yayınladı.
Cisco’nun belirttiği gibi, CVE-2025-20309’un sömürülmesi, kök izinleri olan kök kullanıcı için/var/log/aktif/syslog/Secure’ye bir günlük girişine neden olacaktır. Bu etkinliğin günlüğe kaydedilmesi varsayılan olarak etkinleştirildiğinden, yöneticiler komut satırından aşağıdaki komutu çalıştırarak sömürü denemeleri aramak için günlükleri geri alabilir: file get activelog syslog/secure
.
Bu, Cisco’nun son yıllarda ürünlerinden kaldırılması gereken ilk arka kapı hesabından çok uzaktır, iOS XE, Geniş Alan Uygulama Hizmetleri (WAAS), Dijital Ağ Mimarisi (DNA) Merkezi ve Acil Durum Yanıtlayıcı Yazılımında daha önce sabit kodlanmış kimlik bilgileri ile.
Daha yakın zamanlarda Cisco, Nisan ayında yöneticileri, saldırılarda kullanılan yerleşik bir arka kapı yönetici hesabını ortaya çıkaran kritik bir Cisco Akıllı Lisans Yardımcı Programı (CSLU) kırılganlığını düzeltmeleri konusunda uyardı. Bir ay sonra, şirket, kimlik doğrulanmamış uzak saldırganların iOS XE cihazlarını devralmasına izin veren sert kodlanmış bir JSON Web Tokenini (JWT) kaldırdı.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.