« Hardcoded credentials ? En 2025 ? Cisco, vraiment ? »
Celle là va plaire à notre responsable réseau
🧨 Le résumé qui pique
Cisco a discrètement publié un correctif critique pour son produit Unified Communications Manager (Unified CM) – la solution phare pour la téléphonie IP en entreprise – afin de supprimer un compte root caché. Oui, vous avez bien lu : un compte SSH avec des identifiants codés en dur, qui ouvrait grand la porte à quiconque souhaitait se promener tranquillement dans vos serveurs de téléphonie.
🐚 Une backdoor bien dodue
Ce compte spécial, visiblement destiné à la maintenance (ou à la magie noire interne), permettait une connexion SSH avec privilèges root, sans nécessiter de mesures d’authentification supplémentaires. Si votre instance de Unified CM était exposée à Internet (ou mal cloisonnée en interne), un attaquant pouvait, en théorie, en prendre le contrôle total. Pas seulement pour écouter les appels, mais aussi pour pivoter, lancer des attaques internes ou installer des backdoors persistantes.
On parle ici de CVE-2024-20399, qui a reçu un score de 9.8 sur 10 (CVSS), autrement dit un accès VIP illimité pour les cybercriminels.
🔎 Détails techniques (et gênants)
- Produit concerné : Cisco Unified Communications Manager (aussi connu sous le nom de CallManager)
- Version affectée : 14SU3 (et possiblement d’autres non documentées)
- Vulnérabilité : Compte root avec mot de passe codé en dur accessible en SSH
- Exploitabilité : À distance, sans authentification préalable
- Score CVSS : 9.8 / 10 – Critique
Cisco précise que le compte a été intégré par inadvertance (selon la formule magique habituelle) et qu’un patch est désormais disponible. Mais ne comptez pas trop sur une mise à jour automatique : les admins doivent patcher manuellement.
🧯 Que faire si vous êtes concerné ?
- Appliquez le correctif immédiatement (oui, aujourd’hui, pas la semaine prochaine).
- Vérifiez les logs SSH à la recherche de connexions suspectes.
- Restreignez les accès SSH via firewall ou segmentation réseau.
- Surveillez l’intégrité du système (fichiers système modifiés, création de comptes suspects, etc.).
- Effectuez une analyse de compromission si votre CM a été exposé.
🧠 Pourquoi c’est grave ?
Parce que l’on parle ici :
- d’un produit critique dans les infrastructures,
- d’un accès root à distance sans authentification,
- et d’une faille présente par design (aka « backdoor involontaire »).
Ce genre de vulnérabilité n’est pas seulement une faille, c’est un aveu de négligence industrielle. Cisco n’est pas un petit éditeur open source en bêta : c’est l’un des plus gros vendeurs de solutions réseau au monde. Quand un tel acteur livre un produit avec un compte root codé en dur, c’est toute la chaîne de confiance qui vacille.
🧠 En conclusion : une sonnette d’alarme
Les backdoors « involontaires », c’est comme les factures oubliées : ça finit toujours par vous rattraper. Pour les RSSI, c’est une piqûre de rappel sur l’importance de l’inventaire logiciel, de la gestion des vulnérabilités, et de la micro-segmentation réseau.
Et pour les DSI, c’est une bonne occasion de poser la seule vraie question :
« Qui a encore besoin d’un accès SSH root à distance en production en 2025 ? »
💬 Bonus pour les réunions du lundi matin :
« Chez Cisco, on pense que le zéro trust, c’est pour les clients. Pas pour leurs propres logiciels. »
