В Cisco Unified Communications Manager и Unified CM Session Management Edition обнаружена критическая уязвимость CVE-2026-20230 (CVSS 8.6), позволяющая неаутентифицированному удалённому атакующему выполнить атаку типа SSRF и записать произвольные файлы в операционную систему сервера — с последующей возможностью повышения привилегий до root. Для эксплуатации необходим включённый сервис WebDialer, который по умолчанию отключён. Cisco выпустила исправления в версиях 14SU6 и 15SU5; организациям, использующим уязвимые версии с активным WebDialer, следует немедленно установить обновления или отключить сервис.
Техническая суть уязвимости
Согласно официальному бюллетеню Cisco, корневая причина — некорректная валидация входных данных при обработке определённых HTTP-запросов. Атакующий отправляет специально сформированный HTTP-запрос на уязвимое устройство, что приводит к серверной подделке запросов (SSRF). Результат успешной эксплуатации — возможность записи файлов в файловую систему операционной системы, которые впоследствии могут использоваться для эскалации привилегий до уровня root.
Ключевое условие эксплуатации: на целевой системе должен быть запущен сервис Cisco WebDialer Web Service. По данным Cisco, этот сервис отключён по умолчанию, что существенно сужает поверхность атаки. Однако в корпоративных средах, где WebDialer активно используется для интеграции телефонии с веб-интерфейсами, риск остаётся значительным.
По данным исследователей из SSD Secure Disclosure, цепочка эксплуатации включает использование компонента WebDialer для получения реального имени хоста целевого сервера, что в конечном счёте позволяет добиться выполнения произвольного кода. Эти технические подробности опубликованы сторонними исследователями и пока не подтверждены Cisco в рамках официального бюллетеня.
Статус эксплуатации и публичный PoC
Существует публично доступный proof-of-concept для данной уязвимости. Исследователь Defused Cyber сообщил о наблюдении попыток эксплуатации, исходящих из одного источника с использованием непроверенного PoC — на ханипотах фиксировались полезные нагрузки с использованием схемы file:// для записи файлов. Однако следует подчеркнуть: Cisco на момент публикации не обновила свой бюллетень для отражения статуса активной эксплуатации, а данные об атаках поступают из единственного источника, не подтверждённого вендором. Уязвимость также не внесена в каталог CISA KEV.
Таким образом, статус эксплуатации корректно классифицировать как «доступен публичный PoC» с неподтверждёнными сигналами об использовании в реальных атаках, а не как подтверждённую эксплуатацию в дикой природе.
Оценка воздействия
Cisco Unified Communications Manager — одна из наиболее распространённых платформ корпоративной IP-телефонии. Её компрометация может привести к:
- Полному контролю над сервером телефонии (запись файлов + повышение до root)
- Перехвату и манипуляции голосовыми коммуникациями
- Использованию скомпрометированного сервера как точки опоры для латерального перемещения внутри корпоративной сети
- Нарушению работы телефонной инфраструктуры организации
Наибольшему риску подвержены организации, в которых WebDialer активирован для обеспечения функции набора номера через веб-интерфейс — типичный сценарий для крупных контакт-центров и компаний с интеграцией телефонии в корпоративные порталы.
Рекомендации по реагированию
Немедленные действия
- Проверьте статус WebDialer: войдите в интерфейс Cisco Unified CM Administration → Navigation → Cisco Unified Serviceability → Tools → Control Center — Feature Services → секция CTI Services. Если статус Cisco WebDialer Web Service — «Started», сервис активен и система потенциально уязвима.
- Установите обновления: обновите Unified CM и Unified CM SME до версий 14SU6 или 15SU5, в которых уязвимость устранена.
- Временное смягчение: если немедленное обновление невозможно, отключите сервис WebDialer до момента применения патча.
Дополнительные меры
- Проведите аудит журналов HTTP-запросов к серверам Unified CM на предмет аномальных обращений к компоненту WebDialer
- Проверьте файловую систему серверов на наличие нетипичных файлов, которые могли быть записаны через эксплуатацию уязвимости
- Ограничьте сетевой доступ к интерфейсу управления Unified CM, если он доступен из недоверенных сегментов
Учитывая наличие публичного PoC и сообщения о попытках эксплуатации, приоритет реагирования — высокий. Организациям с включённым WebDialer рекомендуется применить патч или отключить сервис в течение ближайших 24–48 часов, не дожидаясь подтверждения массовой эксплуатации от Cisco или включения в каталог CISA KEV.
