Cisco parcheó una grave vulnerabilidad que permitía control total de sus sistemas

Acabo de enterarme de que Cisco ha tenido que moverse rápido para solucionar un problema bastante serio en algunos de sus productos estrella de comunicaciones empresariales. La compañía ha lanzado parches para corregir una vulnerabilidad crítica catalogada con la máxima puntuación de gravedad (10/10). Y sí, es tan grave como suena.

El problema: credenciales por defecto que no se podían cambiar

La vulnerabilidad, identificada como CVE-2025-20309, afecta al software Unified CM (Unified Communications Manager) y Unified CM SME (Session Management Edition), dos productos fundamentales en la gestión de comunicaciones de muchas empresas.

Lo más preocupante es el origen del fallo: credenciales estáticas para la cuenta root que los propios usuarios no podían modificar. En otras palabras, existía una puerta trasera que los desarrolladores habían dejado durante la fase de desarrollo y que, por alguna extraña razón, se mantuvo en las versiones finales del producto.

Por qué es especialmente grave

No estamos hablando de un simple bug que cause molestias. Esta vulnerabilidad permitiría a un atacante:

1. Iniciar sesión como root (el usuario con más privilegios en sistemas Unix)
2. Ejecutar comandos con privilegios administrativos
3. Tomar control total del sistema

La gravedad radica en que, a diferencia de muchos otros fallos que requieren una cadena de condiciones para ser explotados, este es directo y devastador: quien conozca las credenciales por defecto puede entrar y hacer lo que quiera.

Versiones afectadas y la solución

Las versiones de Unified CM y Unified CM SME Engineering Special (ES) desde la 15.0.1.13010-1 hasta la 15.0.1.13017-1 son las afectadas por esta vulnerabilidad. Y esto es independiente de la configuración que tenga el dispositivo, lo que significa que no hay forma de mitigar el riesgo sin aplicar el parche.

Cisco ya ha puesto a disposición un parche específico para corregir este problema, y además ha anunciado que incluirá esta corrección en la versión definitiva Unified CM y Unified CM SME 15SU3, que según sus previsiones debería estar disponible este mismo mes de julio.

Cómo saber si has sido víctima

Si sospechas que tu sistema podría haber sido comprometido, Cisco recomienda revisar los registros de acceso. En concreto, cualquier actividad sospechosa del usuario root aparecería en la ruta /var/log/active/syslog/secure. Por ahora, al menos, la compañía ha indicado que no tiene constancia de que esta vulnerabilidad haya sido explotada en ataques reales.

Más allá del zero-day: otros parches de seguridad

En la misma actualización, Cisco también ha lanzado parches para otras tres vulnerabilidades de gravedad media que afectan a:

• Spaces Connector
• Enterprise Chat and Email (ECE)
• BroadWorks Application Delivery Platform

Estos fallos, aunque menos graves, podrían permitir escalada de privilegios y ataques XSS (Cross-Site Scripting). Hasta el momento, Cisco asegura que tampoco hay evidencia de que estas vulnerabilidades hayan sido explotadas.

La importancia de aplicar los parches inmediatamente

Estos tipos de vulnerabilidades me recuerdan por qué es tan crucial mantener los sistemas actualizados. Un parche que hoy parece «una actualización más» puede ser justamente lo que evite un desastre en tu infraestructura mañana.

Para las empresas que utilizan estos productos Cisco, mi recomendación es clara: actualicen lo antes posible. El hecho de que una vulnerabilidad no haya sido explotada «hasta donde sabemos» no significa que no lo vaya a ser en el futuro próximo. De hecho, ahora que se ha hecho pública, el riesgo de ataques aumenta significativamente.

Si quieres obtener información más detallada sobre estas u otras vulnerabilidades de Cisco, puedes consultar su página oficial de avisos de seguridad, donde suelen publicar actualizaciones regulares sobre nuevas amenazas y sus correspondientes parches.