Cisco Unified CM уже атакуют через CVE-2026-20230: SSRF может привести к root-доступу

Уязвимость CVE-2026-20230 в Cisco Unified Communications Manager и Cisco Unified Communications Manager Session Management Edition перешла из категории патчей «на потом» в реальную эксплуатацию. BleepingComputer со ссылкой на данные threat intelligence-фирмы Defused пишет, что атаки уже наблюдались в выходные: злоумышленники используют SSRF в WebDialer для записи файлов на устройство.

Cisco выпустила исправления 3 июня и оценивала проблему как высокую по серьёзности. Суть бага — неправильная проверка входных данных в отдельных HTTP-запросах. Неаутентифицированный удалённый атакующий может отправить специально подготовленный запрос и добиться записи файлов в базовую операционную систему. В худшем сценарии такие файлы используются для дальнейшего повышения привилегий до root.

Defused описывает текущие атаки как исходящие с одного IP-адреса и использующие корректно сформированные file:// payload. По наблюдениям исследователей, конкретный proof-of-concept пока похож скорее на разведку: он пытается создать тестовый файл /tmp/cve-2026-20230-test.txt, чтобы понять, уязвимо ли устройство. Но после публикации технического разбора SSD Secure и демонстрации PoC риск быстро меняется: теперь у других групп есть понятная дорожная карта эксплуатации.

SSD Secure показала, что проблема находится в обработке пользовательских URL компонентом WebDialer. Принудив приложение работать с file:// URI, атакующий может контролировать путь и содержимое файла, который записывается на диск. Исследователи отмечают, что перед полноценной эксплуатацией нужно узнать hostname цели, но продемонстрировали, как получить эту информацию с самого устройства.

Для организаций, где Unified CM обслуживает телефонию и коммуникации, риск особенно неприятен: такие системы часто находятся глубоко в корпоративной инфраструктуре и редко воспринимаются как обычные интернет-facing серверы. Практический вывод простой: проверить наличие патча Cisco, ограничить доступ к интерфейсам управления, поискать попытки записи тестового файла и не ждать появления записи в CISA KEV как единственного сигнала срочности.

Источник: BleepingComputer, 23 июня 2026