En Cisco Unified Communications Manager y Unified CM Session Management Edition se ha descubierto la vulnerabilidad crítica CVE-2026-20230 (CVSS 8.6), que permite a un atacante remoto no autenticado llevar a cabo un ataque de tipo SSRF y escribir archivos arbitrarios en el sistema operativo del servidor, con la posibilidad posterior de elevar privilegios hasta root. Para su explotación es necesario que el servicio WebDialer esté habilitado, lo cual viene desactivado de forma predeterminada. Cisco ha publicado correcciones en las versiones 14SU6 y 15SU5; las organizaciones que utilicen versiones vulnerables con WebDialer activo deben instalar inmediatamente las actualizaciones o deshabilitar el servicio.
Aspectos técnicos de la vulnerabilidad
Según el boletín oficial de Cisco, la causa raíz es la validación incorrecta de los datos de entrada al procesar determinadas solicitudes HTTP. El atacante envía una solicitud HTTP especialmente diseñada al dispositivo vulnerable, lo que provoca una server-side request forgery (SSRF). El resultado de una explotación satisfactoria es la capacidad de escribir archivos en el sistema de archivos del sistema operativo, que posteriormente pueden utilizarse para escalar privilegios hasta el nivel root.
La condición clave para la explotación es que en el sistema objetivo esté en ejecución el servicio Cisco WebDialer Web Service. Según Cisco, este servicio está deshabilitado de forma predeterminada, lo que reduce significativamente la superficie de ataque. Sin embargo, en entornos corporativos donde WebDialer se utiliza activamente para integrar la telefonía con interfaces web, el riesgo sigue siendo considerable.
De acuerdo con los investigadores de SSD Secure Disclosure, la cadena de explotación incluye el uso del componente WebDialer para obtener el nombre real de host del servidor objetivo, lo que en última instancia permite lograr la ejecución de código arbitrario. Estos detalles técnicos han sido publicados por investigadores externos y aún no han sido confirmados por Cisco en el marco de su boletín oficial.
Estado de explotación y PoC público
Existe un proof-of-concept público para esta vulnerabilidad. El investigador Defused Cyber informó de la observación de intentos de explotación procedentes de una única fuente utilizando un PoC no verificado: en honeypots se registraron cargas útiles que empleaban el esquema file:// para la escritura de archivos. Sin embargo, es importante subrayar que: Cisco, en el momento de la publicación, no ha actualizado su boletín para reflejar un estado de explotación activa, y los datos sobre ataques provienen de una sola fuente no confirmada por el proveedor. La vulnerabilidad tampoco se ha incluido en el catálogo CISA KEV.
Por lo tanto, el estado de explotación se clasifica correctamente como «PoC público disponible» con señales no confirmadas de uso en ataques reales, y no como explotación confirmada in the wild.
Evaluación del impacto
Cisco Unified Communications Manager es una de las plataformas de telefonía IP corporativa más extendidas. Su compromiso puede conducir a:
- Control total sobre el servidor de telefonía (escritura de archivos + elevación a root)
- Intercepción y manipulación de las comunicaciones de voz
- Uso del servidor comprometido como punto de apoyo para el movimiento lateral dentro de la red corporativa
- Interrupción del funcionamiento de la infraestructura telefónica de la organización
Están expuestas a mayor riesgo las organizaciones en las que WebDialer está activado para proporcionar la función de marcado a través de una interfaz web, un escenario típico para grandes contact centers y empresas con integración de telefonía en portales corporativos.
Recomendaciones de respuesta
Acciones inmediatas
- Verifique el estado de WebDialer: inicie sesión en la interfaz Cisco Unified CM Administration → Navigation → Cisco Unified Serviceability → Tools → Control Center – Feature Services → sección CTI Services. Si el estado de Cisco WebDialer Web Service es «Started», el servicio está activo y el sistema es potencialmente vulnerable.
- Instale las actualizaciones: actualice Unified CM y Unified CM SME a las versiones 14SU6 o 15SU5, en las que la vulnerabilidad ha sido corregida.
- Mitigación temporal: si no es posible actualizar de inmediato, deshabilite el servicio WebDialer hasta que se aplique el parche.
Medidas adicionales
- Realice una auditoría de los registros de solicitudes HTTP a los servidores Unified CM en busca de accesos anómalos al componente WebDialer
- Revise el sistema de archivos de los servidores para detectar archivos atípicos que pudieran haberse escrito mediante la explotación de la vulnerabilidad
- Limite el acceso de red a la interfaz de administración de Unified CM si está accesible desde segmentos no confiables
Dado que existe un PoC público y se han comunicado intentos de explotación, la prioridad de respuesta es alta. A las organizaciones con WebDialer habilitado se les recomienda aplicar el parche o desactivar el servicio en un plazo de 24–48 horas, sin esperar a la confirmación de explotación masiva por parte de Cisco ni a su inclusión en el catálogo CISA KEV.
