{"id":3838,"date":"2025-07-04T10:57:39","date_gmt":"2025-07-04T10:57:39","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=3838"},"modified":"2025-07-04T10:57:39","modified_gmt":"2025-07-04T10:57:39","slug":"kritische-schwachstelle-in-cisco-unified-cm-entdeckt","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=3838","title":{"rendered":"Kritische Schwachstelle in Cisco Unified CM entdeckt"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">Bereits zum zweiten Mal in einer Woche muss Cisco eine Schwachstelle mit h\u00f6chsten Schweregrad melden.\n<p class=\"imageCredit\">JarTee \u2013 shutterstock.com<\/p>\n<\/div>\n<p>Cisco meldete k\u00fcrzlich eine Schwachstelle mit h\u00f6chster Schweregradbewertung (CVSS 10 von 10) in seinen Produkten Unified Communications Manager (Unified CM) und Session Management Edition (Unified CM SME). Die betroffenen L\u00f6sungen sind Kernkomponenten der TK-Infrastruktur und werden in Beh\u00f6rden, Finanzinstituten und gro\u00dfen Unternehmen f\u00fcr die Verwaltung von Sprach-, Video- und Messaging-Diensten in gro\u00dfem Umfang eingesetzt.<\/p>\n<p>\u201eDiese Sicherheitsl\u00fccke ist auf die Verwendung statischer Benutzeranmeldedaten f\u00fcr das Root-Konto zur\u00fcckzuf\u00fchren, die f\u00fcr Entwicklungszwecke reserviert sind\u201c, erkl\u00e4rte der Tech-Riese in einer <a href=\"https:\/\/sec.cloudapps.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-cucm-ssh-m4UBdpE7\">Sicherheitsempfehlung<\/a>. \u201eNach einem erfolgreichen Angriff k\u00f6nnte sich der Bedrohungsakteur dar\u00fcber bei dem betroffenen System anmelden und beliebige Befehle als Root-Benutzer ausf\u00fchren.\u201c<\/p>\n<p>Das Problem ist zwar auf eine Reihe von Engineering Special (ES)-Versionen beschr\u00e4nkt, aber es gibt keine M\u00f6glichkeit, die Schwachstelle ohne die Installation eines Patches zu beheben. Cisco hat einen Fix ver\u00f6ffentlicht und fordert seine Kunden dringend auf, sofort ein Upgrade durchzuf\u00fchren.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Root-Zugriff mit h\u00f6chster Schweregradstufe m\u00f6glich<\/strong><\/h2>\n<p>Das Problem (<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-20309\">CVE-2025-20309<\/a>) ist auf einen Fehler in der Programmierung zur\u00fcckzuf\u00fchren. So war das Root-Benutzerkonto auf den anf\u00e4lligen ES-Builds mit standardm\u00e4\u00dfigen Secure-Shell- (SSH)-Anmeldedaten vorinstalliert, die nicht ge\u00e4ndert oder entfernt werden konnten. Jeder, der die Anmeldedaten kennt (oder zur\u00fccksetzt), k\u00f6nnte sie verwenden, um mit vollst\u00e4ndigen Administratorrechten remote auf das System zuzugreifen. Deshalb wurde die Schwachstelle mit dem h\u00f6chsten Schweregrad bewertet.<\/p>\n<p>Die Anmeldedaten, die urspr\u00fcnglich nur f\u00fcr Entwicklungszwecke gedacht waren, wurden versehentlich in bestimmten ES-Builds von Unified CM 15.0.1, insbesondere in den Versionen 13010-1 bis 13017-1, ausgeliefert. Diese Builds wurden vom Technical Assistance Center von Cisco verteilt und waren nicht allgemein verf\u00fcgbar. Dadurch ist die Gef\u00e4hrdung zwar begrenzt, jedoch nicht die Schwere der Sicherheitsl\u00fccke.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Cisco gibt Tipps zum Erkennen von Angriffen<\/strong><\/h2>\n<p>Nach Aussagen von Cisco wurden in diesem Zusammenhang aber bislang keine Angriffe beobachtet. Dennoch stellte das Unternehmen eine Methode zur Erkennung von Kompromittierungen f\u00fcr seine Kunden bereit. Erfolgreiche Anmeldungen \u00fcber das Root-Konto w\u00fcrden Spuren in den Systemprotokollen unter \u201e\/var\/log\/active\/syslog\/secure\u201c hinterlassen, hei\u00dft es.<\/p>\n<p>Der Hinweis enth\u00e4lt zudem einen Beispiel-Log-Ausschnitt, der zeigt, wie die SSH-Sitzung eines Angreifers aussehen k\u00f6nnte.<\/p>\n<p>Der Anbieter erkl\u00e4rte, dass der Exploit keine Ger\u00e4tekonfiguration erfordert und dass es au\u00dfer einem Upgrade keine Abhilfe gibt, um das Risiko zu mindern. Kunden ohne Servicevertrag k\u00f6nnen den Fix trotzdem anfordern, sofern sie die Seriennummer ihres Ger\u00e4ts und einen Link zum Hinweis angeben.<\/p>\n<p>Der Fehler, der bei internen Sicherheitstests entdeckt wurde, ist der zweite Fehler mit h\u00f6chster Schweregradbewertung, den Cisco innerhalb einer Woche gemeldet hat. Der erste war ein<a href=\"https:\/\/www.csoonline.com\/article\/4013597\/cisco-warns-of-critical-api-vulnerabilities-in-ise-and-ise-pic.html?utm=hybrid_search\"> unzureichender Fehler bei der Eingabevalidierung<\/a>, der die Identit\u00e4ts- und Zugriffskontrollplattformen von Cisco betraf und RCE als Root-Benutzer erm\u00f6glichte. (jm)<\/p>\n<p><a><\/a><\/p>\n<p>\u00a0<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Bereits zum zweiten Mal in einer Woche muss Cisco eine Schwachstelle mit h\u00f6chsten Schweregrad melden. JarTee \u2013 shutterstock.com Cisco meldete k\u00fcrzlich eine Schwachstelle mit h\u00f6chster Schweregradbewertung (CVSS 10 von 10) in seinen Produkten Unified Communications Manager (Unified CM) und Session Management Edition (Unified CM SME). Die betroffenen L\u00f6sungen sind Kernkomponenten der TK-Infrastruktur und werden in [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":3839,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3838","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3838"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3838"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3838\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/3839"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3838"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3838"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3838"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}