Vulnerabilidade do Cisco Unified Communications Manager CVSS 10: mais de mil ativos expostos à Internet

Sumário executivo

A Cisco lançou atualizações de segurança urgentes para corrigir uma vulnerabilidade crítica (CVE-2025-20309, CVSS 10.0) no Unified Communications Manager (Unified CM) e sua Session Management Edition. Essa falha permite que os invasores obtenham acesso root por meio de credenciais codificadas presentes nas versões afetadas de 15.0.1.13010-1 a 15.0.1.13017-1, independentemente da configuração do dispositivo. Existem mais de mil dispositivos expostos em todo o mundo, principalmente nos EUA, Tailândia, Coréia, Rússia e Europa; alguns deles pertencem a organizações em setores altamente críticos. Atores de ameaças notáveis, como APT28, APT41, MuddyWater e corretores de acesso, provavelmente explorarão essa falha para comprometer redes, interceptar tráfego de VoIP ou implantar ransomware. Embora nenhuma exploração pública tenha sido confirmada ainda, a probabilidade é muito alta. A aplicação imediata de patches, a restrição do acesso ao gerenciamento, o monitoramento vigilante de registros para logins SSH raiz e a segmentação da rede são mitigações essenciais para evitar o comprometimento total do sistema e possíveis movimentos laterais nos ambientes afetados.

‍

Análise e atribuição

A Cisco emitiu atualizações de segurança para resolver uma vulnerabilidade crítica (CVE-2025-20309) em seu Unified Communications Manager (Unified CM) e Unified CM Session Management Edition (Unified CM SME). Essa falha, com um Pontuação CVSS de 10,0, permite que um invasor obtenha acesso root e privilégios elevados nos dispositivos afetados. A vulnerabilidade afeta o Unified CM e o Unified CM SME versões 15.0.1.13010-1 a 15.0.1.13017-1, independentemente da configuração do dispositivo.

‍

‍

Isso ocorre depois que a Cisco corrigiu duas vulnerabilidades de segurança (CVE-2025-20281 e CVE-2025-20282) no Identity Services Engine e no ISE Passive Identity Connector, que anteriormente permitiam que invasores não autenticados executassem comandos arbitrários com privilégios de root.

Com base nos resultados da pesquisa do FOFA, podemos ver que há mais de mil ativos expostos à Internet que estão executando o Cisco Unified Communications Manager.

‍

A maioria dos ativos está nos Estados Unidos, seguidos pela Tailândia, Coréia, Rússia, Tchéquia, Japão, Mali e Lituânia.

Atores de ameaças em foco

Os seguintes atores podem se interessar em transformar esse vetor de acesso inicial em uma arma com base em sua história:

1. APT28 (Fancy Bear, Rússia):

• Conhecido por explorar vulnerabilidades de infraestrutura de rede (Cisco, Fortinet etc.).
• Já usou vetores de ataque VPN/VoIP durante o movimento lateral.
• Segmentação anterior de Cisco ASA e Infraestrutura VOIP/UC em redes militares e governamentais.

2. APT41 (China):

• Altamente qualificado em pós-exploração e transformando configurações incorretas em armas ou falhas de credenciais codificadas.
• História da segmentação da cadeia de suprimentos e telecomunicações.
• Utilizou serviços expostos e credenciais de administrador fracas durante campanhas na Ásia e no Oriente Médio.

3. Muddy Water (Irã):

• Conhecido por explorar desvios de autenticação e RCE em equipamentos de rede.
• Direcionado infraestrutura de telecomunicações e governo nos Emirados Árabes Unidos, Turquia e Israel.
• Usa ferramentas como Ligolo e Cinzel depois de obter acesso root — eles funcionam bem em dispositivos Linux como o Unified CM.

4. Grupos da UNC e corretores de acesso:

• Corretores de acesso frequentemente verificam falhas de RCE ou baseadas em credenciais (como esta) e vender acesso root para operadores de ransomware.
• Os dispositivos Cisco Unified CM podem ser encontrados usando Shodão/Censo se configurado incorretamente.
• Os registros da exploração bem-sucedida também podem ser vendidos em fóruns da dark web.

Quão provável é a exploração?

Muito alto, se:

• As credenciais codificadas se tornam conhecidas (por exemplo, vazamento, engenharia reversa, força bruta).
• Os sistemas são expostos externamente (por exemplo, por meio de firewalls ou VPN mal configurados).
• As organizações atrasam a aplicação de patches.

De acordo com a Cisco, ainda não houve nenhuma exploração pública. No entanto, o CloudSEK verifica com alta confiança que agentes de ameaças com recursos consideráveis podem tentar criar uma prova de conceito funcional para explorar essa vulnerabilidade.

Impacto

• Entre na rede interna.
• Execução de comando como root (comprometimento total do sistema), levando à exfiltração de dados e/ou ransomware.
• Intercepte ou manipule o tráfego VoIP, como:
  
  • Espiando conversas confidenciais.
  • Man-in-the-Middle (MITM) de fluxos SIP ou RTP.
• Interrompa os fluxos de chamadas ou se faça passar por usuários internos.
• Extraia registros de chamadas ou dados de correio de voz.

‍Mitigações

• Aplique as atualizações de segurança da Cisco imediatamente: Corrija todos os sistemas Unified CM e Unified CM SME afetados para eliminar a vulnerabilidade das credenciais raiz codificadas.
• Restrinja o acesso às interfaces de gerenciamento: Limite o acesso à rede às interfaces de administração do Unified CM usando regras estritas de firewall e VPNs para evitar tentativas de login não autorizadas.
• Monitore os indicadores de comprometimento: Verifique regularmente os registros do sistema (/var/log/active/syslog/secure) em busca de entradas de login raiz inesperadas e investigue anomalias imediatamente. Se uma entrada de registro, ambas incluem sshd e mostra um login SSH bem-sucedido pelo usuário raiz, inicie a resposta ao incidente imediatamente.
• Conduza a segmentação da rede e a resposta a incidentes: Isole a infraestrutura VoIP vulnerável ou crítica dos segmentos gerais da rede e prepare planos de resposta a incidentes para possíveis cenários de exploração.
• Analise a superfície de ataque: Mapeie sua pegada de ativos digitais com soluções como BeVigil e ganhe visibilidade em sua superfície de ataque oculta.