У Cisco Unified Communications Manager та Unified CM Session Management Edition виявлено критичну вразливість CVE-2026-20230 (CVSS 8.6), яка дає змогу неавтентифікованому віддаленому зловмиснику виконати атаку типу SSRF і записати довільні файли в операційну систему сервера — з подальшою можливістю підвищення привілеїв до рівня root. Для експлуатації потрібен увімкнений сервіс WebDialer, який за замовчуванням вимкнений. Cisco випустила виправлення у версіях 14SU6 та 15SU5; організаціям, що використовують уразливі версії з активним WebDialer, слід негайно встановити оновлення або вимкнути сервіс.
Технічна суть вразливості
Згідно з офіційним бюлетенем Cisco, коренева причина — некоректна валідація вхідних даних під час обробки окремих HTTP-запитів. Зловмисник надсилає спеціально сформований HTTP-запит на уразливий пристрій, що призводить до server-side request forgery (SSRF). Результат успішної експлуатації — можливість запису файлів у файлову систему операційної системи, які згодом можуть бути використані для ескалації привілеїв до рівня root.
Ключова умова експлуатації: на цільовій системі має бути запущений сервіс Cisco WebDialer Web Service. За даними Cisco, цей сервіс вимкнений за замовчуванням, що суттєво звужує поверхню атаки. Втім, у корпоративних середовищах, де WebDialer активно використовується для інтеграції телефонії з веб-інтерфейсами, ризик залишається значним.
За даними дослідників із SSD Secure Disclosure, ланцюжок експлуатації передбачає використання компонента WebDialer для отримання реальної назви хоста цільового сервера, що зрештою дає змогу досягти виконання довільного коду. Ці технічні подробиці опубліковані сторонніми дослідниками і поки що не підтверджені Cisco в межах офіційного бюлетеня.
Статус експлуатації та публічний PoC
Існує публічно доступний proof-of-concept для цієї вразливості. Дослідник Defused Cyber повідомив про спостереження спроб експлуатації, що надходять із одного джерела з використанням неперевіреного PoC — на honeypot серверах фіксувалися корисні навантаження зі схемою file:// для запису файлів. Однак варто підкреслити: Cisco на момент публікації не оновила свій бюлетень для відображення статусу активної експлуатації, а дані про атаки надходять з єдиного джерела, не підтвердженого вендором. Вразливість також не внесена до каталогу CISA KEV.
Таким чином, статус експлуатації коректно класифікувати як «доступний публічний PoC» з непідтвердженими сигналами про використання в реальних атаках, а не як підтверджену експлуатацію в «дикій природі».
Оцінка впливу
Cisco Unified Communications Manager — одна з найпоширеніших платформ корпоративної IP-телефонії. Її компрометація може призвести до:
- повного контролю над сервером телефонії (запис файлів + підвищення привілеїв до root)
- перехоплення та маніпулювання голосовими комунікаціями
- використання скомпрометованого сервера як опорного плацдарму для бокового переміщення всередині корпоративної мережі
- порушення роботи телефонної інфраструктури організації
Найбільшому ризику піддаються організації, у яких WebDialer активований для забезпечення функції набору номера через веб-інтерфейс — типовий сценарій для великих контакт-центрів і компаній з інтеграцією телефонії в корпоративні портали.
Рекомендації щодо реагування
Негайні дії
- Перевірте статус WebDialer: увійдіть в інтерфейс Cisco Unified CM Administration → Navigation → Cisco Unified Serviceability → Tools → Control Center – Feature Services → розділ CTI Services. Якщо статус Cisco WebDialer Web Service — «Started», сервіс активний, і система потенційно уразлива.
- Встановіть оновлення: оновіть Unified CM та Unified CM SME до версій 14SU6 або 15SU5, у яких вразливість усунута.
- Тимчасове пом’якшення: якщо негайне оновлення неможливе, вимкніть сервіс WebDialer до моменту застосування патча.
Додаткові заходи
- Проведіть аудит журналів HTTP-запитів до серверів Unified CM на предмет аномальних звернень до компонента WebDialer
- Перевірте файлову систему серверів на наявність нетипових файлів, які могли бути записані через експлуатацію вразливості
- Обмежте мережевий доступ до інтерфейсу керування Unified CM, якщо він доступний із ненадійних сегментів
З огляду на наявність публічного PoC і повідомлення про спроби експлуатації, пріоритет реагування — високий. Організаціям з увімкненим WebDialer рекомендується застосувати патч або вимкнути сервіс упродовж найближчих 24–48 годин, не очікуючи підтвердження масової експлуатації від Cisco або включення до каталогу CISA KEV.
