Krytyczna luka w Cisco UCCX pozwala uruchamiać komendy jako root (CVE-2025-20354)

Wprowadzenie do problemu / definicja luki

Cisco opublikowało poprawki dla krytycznej podatności w Unified Contact Center Express (UCCX), oznaczonej jako CVE-2025-20354. Błąd wynika z nieprawidłowego mechanizmu uwierzytelniania w procesie Java RMI, co umożliwia zdalne, nieuwierzytelnione wgranie plików i wykonanie dowolnych komend z uprawnieniami root na dotkniętym systemie. Luka ma ocenę CVSS 9.8.

W skrócie

• Co: RCE w Cisco UCCX przez Java RMI (CVE-2025-20354), z eskalacją do root.
• Jak: Wgranie spreparowanego pliku przez interfejs RMI bez poprawnego uwierzytelnienia.
• Kto zagrożony: Organy korzystające z UCCX (contact center).
• Skutki: Pełne przejęcie hosta UCCX i ruch boczny w sieci.
• Dostępność poprawek: Tak – wydane przez Cisco.

Kontekst / historia / powiązania

Aktualizacja Cisco adresuje nie jedną, a kilka luk w UCCX – obok CVE-2025-20354 załatano m.in. CVE-2025-20358 (bypass uwierzytelniania w CCX Editor, pozwalający tworzyć i uruchamiać skrypty jako użytkownik wewnętrzny). Media branżowe i dostawcy skanerów podatności podkreślają pilność aktualizacji.

Analiza techniczna / szczegóły luki

• Komponent: Java Remote Method Invocation (RMI) w UCCX.
• Wektor: RMI przyjmuje żądania umożliwiające upload plików i ich dalsze użycie do wykonania komend; część funkcji nie wymusza prawidłowego uwierzytelnienia. Typowo RMI nasłuchuje na TCP 1099 (może się różnić zależnie od wdrożenia).
• Skuteczność ataku: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H – atak łatwy, bez interakcji użytkownika, z pełnymi skutkami konfidencjalności, integralności i dostępności.
• Atrybucja badawcza: lukę zgłoszono Cisco; źródła wskazują Jahmela Harrisa jako odkrywcę.

Praktyczne konsekwencje / ryzyko

• Pełne przejęcie hosta UCCX (root), a następnie możliwość:
  • wdrożenia web shelli/implantów,
  • kradzieży danych klientów i nagrań rozmów,
  • pivotu do systemów CRM/UC w segmencie call center,
  • wyłączenia usług i zakłóceń pracy contact center.
• Ryzyko rośnie, jeżeli interfejs RMI jest wystawiony do sieci publicznej lub dostępny z szerokich podsieci wewnętrznych.

Rekomendacje operacyjne / co zrobić teraz

1. Zastosuj poprawki Cisco natychmiast. Cisco udostępniło wydania korygujące – m.in. ścieżki dla linii 12.5 SU3 i 15.0 (ES01). Zweryfikuj dokładne wersje „fixed” w advisory i planie utrzymania Twojego release’u.
2. Ogranicz ekspozycję RMI:
   • filtrowanie ruchu (ACL/Firewall) do zaufowanych adresów administracyjnych,
   • blokada TCP/1099 z niezaufanych stref, segmentacja i mikrosegmentacja.
3. Higiena dostępu: konto administracyjne UCCX tylko przez bastion/VPN z MFA; rotacja haseł i kluczy po aktualizacji.
4. Telemetria i detekcja: reguły NDR/IDS pod kątem nietypowych sesji RMI i uploadów; monitoruj procesy powłoki uruchamiane przez usługi UCCX; korelacja z logami syslog/UCCX.
5. Ślady ataku do sprawdzenia (przykłady):
   • niespodziewane pliki w katalogach roboczych usług UCCX,
   • połączenia przychodzące na port RMI z nietypowych ASN,
   • anomalie w uprawnieniach i nowych użytkownikach/systemd unitach.
     (Dobierz do własnej telemetrii; Cisco nie opublikowało IOCs dla tej luki.)
6. Testy regresji: po aktualizacji sprawdź działanie call-flow, skryptów CCX Editor i integracji z CUCM/CRM.

Różnice / porównania z innymi przypadkami

• CVE-2025-20354 (UCCX, Java RMI) vs. luki w innych produktach UC Cisco z 2025 r. (np. Unified CM z CVSS 10.0 przez statyczne poświadczenia): tu wektor to niepoprawne uwierzytelnienie w RMI i upload plików, a nie twardo zakodowane dane logowania. Obie klasy błędów prowadzą jednak do pełnego przejęcia i wymagają priorytetowego patchingu.

Podsumowanie / najważniejsze wnioski

CVE-2025-20354 to krytyczna podatność w UCCX – prosta do wykorzystania, bez logowania i bez interakcji użytkownika, o najwyższych skutkach wpływu. najważniejsze działania to szybkie wdrożenie poprawek, uszczelnienie RMI oraz monitoring pod kątem nadużyć i trwałości atakujących.

Źródła / bibliografia

• Cisco Security Advisory: Unified CCX – unauthenticated RCE via Java RMI (lista wersji naprawionych/obsługiwanych). (sec.cloudapps.cisco.com)
• NVD: CVE-2025-20354 – opis, CVSS 9.8, wektor ataku. (NVD)
• BleepingComputer: „Critical Cisco UCCX flaw lets attackers run commands as root” (06.11.2025). (BleepingComputer)
• CSO Online: omówienie pakietu poprawek i mechanizmu uploadu przez RMI. (CSO Online)
• Qualys ThreatProtect: wpis o CVE-2025-20354 i CVE-2025-20358 (wersje naprawione). (threatprotect.qualys.com)