Ciscoは、Unified Communications Manager(Unified CM)からバックドアアカウントを削除しました。このアカウントが存在すると、リモートの攻撃者がパッチ未適用のデバイスにroot権限でログインできてしまう可能性がありました。
Cisco Unified Communications Manager(CUCM、旧称:Cisco CallManager)は、CiscoのIP電話システムの中枢制御システムとして機能し、通話ルーティング、デバイス管理、電話機能を担当しています。
この脆弱性(CVE-2025-20309として追跡)は最大深刻度と評価されており、開発およびテスト中に使用することを意図したrootアカウントの静的なユーザー認証情報が原因です。
水曜日に公開されたCiscoのセキュリティアドバイザリによると、CVE-2025-20309は、デバイスの設定に関係なく、Cisco Unified CMおよびUnified CM SME Engineering Special(ES)リリース15.0.1.13010-1から15.0.1.13017-1に影響します。
同社は、この脆弱性に対処するための回避策は存在しないと付け加えています。管理者は、影響を受けるデバイスをCisco Unified CMおよびUnified CM SME 15SU3(2025年7月)にアップグレードするか、こちらで入手可能なCSCwp27755パッチファイルを適用することでのみ、脆弱性を修正しバックドアアカウントを削除できます。
「Cisco Unified Communications Manager(Unified CM)およびCisco Unified Communications Manager Session Management Edition(Unified CM SME)における脆弱性により、認証されていないリモートの攻撃者が、変更や削除ができないデフォルトの静的認証情報を持つrootアカウントを使用して影響を受けるデバイスにログインできる可能性があります」とCiscoは説明しています。
攻撃が成功すると、攻撃者は脆弱なシステムにアクセスし、root権限で任意のコマンドを実行できるようになります。
Ciscoの製品セキュリティインシデント対応チーム(PSIRT)は、現時点でオンライン上に概念実証コードが存在することや、攻撃で悪用された事例は把握していませんが、影響を受けるデバイスを特定するための侵害の兆候(IoC)を公開しています。
Ciscoによれば、CVE-2025-20309が悪用されると、rootユーザーによるroot権限での/var/log/active/syslog/secureへのログエントリが記録されます。このイベントのログ記録はデフォルトで有効になっているため、管理者はコマンドラインから次のコマンドを実行してログを取得し、悪用の試みを確認できます:file get activelog syslog/secure
。
これは、Ciscoが近年自社製品から削除しなければならなかった最初のバックドアアカウントではありません。過去にもIOS XE、Wide Area Application Services(WAAS)、Digital Network Architecture(DNA)Center、Emergency Responderソフトウェアにハードコードされた認証情報が発見されています。
最近では、Ciscoは4月に管理者へ警告を出し、攻撃に悪用されている組み込みのバックドア管理者アカウントを露呈する重大なCisco Smart Licensing Utility(CSLU)の脆弱性の修正を呼びかけました。その1か月後、同社は認証されていないリモート攻撃者がIOS XEデバイスを乗っ取ることを可能にするハードコードされたJSON Web Token(JWT)を削除しました。
2025年における8つの一般的な脅威
クラウド攻撃はますます巧妙化していますが、攻撃者は驚くほど単純な手法でも依然として成功しています。
Wizが数千の組織から検知したデータをもとに、本レポートではクラウドに精通した脅威アクターが用いる8つの主要な手法を明らかにします。