In Cisco Unified Communications Manager und Unified CM Session Management Edition wurde eine kritische Schwachstelle CVE-2026-20230 (CVSS 8.6) entdeckt, die einem nicht authentifizierten entfernten Angreifer eine SSRF-Attacke und das Schreiben beliebiger Dateien in das Betriebssystem des Servers ermöglicht – mit der anschließenden Möglichkeit, Privilegien bis auf root zu erhöhen. Für die Ausnutzung muss der Dienst WebDialer aktiviert sein, der standardmäßig deaktiviert ist. Cisco hat Korrekturen in den Versionen 14SU6 und 15SU5 veröffentlicht; Organisationen, die verwundbare Versionen mit aktivem WebDialer nutzen, sollten umgehend aktualisieren oder den Dienst deaktivieren.
Technische Details der Schwachstelle
Gemäß dem offiziellen Cisco-Sicherheitshinweis liegt die eigentliche Ursache in einer fehlerhaften Validierung von Eingabedaten bei der Verarbeitung bestimmter HTTP-Anfragen. Ein Angreifer sendet eine speziell präparierte HTTP-Anfrage an das verwundbare Gerät, was zu einer Server-Side Request Forgery (SSRF) führt. Das Ergebnis einer erfolgreichen Ausnutzung ist die Möglichkeit, Dateien in das Dateisystem des Betriebssystems zu schreiben, die anschließend zur Eskalation von Privilegien bis auf root eingesetzt werden können.
Die zentrale Voraussetzung für die Ausnutzung: Auf dem Zielsystem muss der Dienst Cisco WebDialer Web Service laufen. Nach Angaben von Cisco ist dieser Dienst standardmäßig deaktiviert, was die Angriffsfläche deutlich verkleinert. In Unternehmensumgebungen, in denen WebDialer jedoch aktiv für die Integration der Telefonie in Weboberflächen genutzt wird, bleibt das Risiko erheblich.
Nach Erkenntnissen der Forscher von SSD Secure Disclosure umfasst die Angriffskette die Nutzung der WebDialer-Komponente, um den tatsächlichen Hostnamen des Zielservers zu ermitteln, was letztlich die Ausführung beliebigen Codes ermöglicht. Diese technischen Details wurden von externen Forschern veröffentlicht und sind von Cisco im offiziellen Sicherheitshinweis bislang nicht bestätigt.
Status der Ausnutzung und öffentlicher PoC
Für diese Schwachstelle existiert ein öffentlich verfügbarer Proof-of-Concept. Der Forscher Defused Cyber hat berichtet, Versuche der Ausnutzung aus einer Quelle mit einem nicht verifizierten PoC beobachtet zu haben – auf Honeypots wurden Nutzlasten mit dem Schema file:// zur Dateischreibung registriert. Es ist jedoch zu betonen: Cisco hat zum Zeitpunkt der Veröffentlichung seinen Sicherheitshinweis nicht aktualisiert, um einen Status aktiver Ausnutzung widerzuspiegeln, und die Angaben zu Angriffen stammen aus einer einzigen, vom Hersteller nicht bestätigten Quelle. Die Schwachstelle ist außerdem nicht im Katalog CISA KEV aufgeführt.
Der Ausnutzungsstatus ist daher korrekt als „öffentlicher PoC verfügbar“ mit unbestätigten Hinweisen auf eine Nutzung in realen Angriffen einzuordnen und nicht als bestätigte Ausnutzung in freier Wildbahn.
Bewertung der Auswirkungen
Cisco Unified Communications Manager ist eine der am weitesten verbreiteten Plattformen für Unternehmens-IP-Telefonie. Eine Kompromittierung kann führen zu:
- Vollständiger Kontrolle über den Telefonieserver (Dateischreibzugriff + Eskalation bis root)
- Abhören und Manipulation von Sprachkommunikation
- Nutzung des kompromittierten Servers als Ausgangspunkt für laterale Bewegung innerhalb des Unternehmensnetzes
- Störung des Betriebs der Telefonieinfrastruktur der Organisation
Am stärksten gefährdet sind Organisationen, in denen WebDialer aktiviert ist, um die Funktion „Click-to-Dial“ über Weboberflächen bereitzustellen – ein typisches Szenario für große Contact Center und Unternehmen mit in Unternehmensportale integrierter Telefonie.
Empfehlungen zur Reaktion
Sofortmaßnahmen
- Status von WebDialer prüfen: Melden Sie sich in der Cisco Unified CM Administration an → Navigation → Cisco Unified Serviceability → Tools → Control Center – Feature Services → Bereich CTI Services. Wenn der Status von Cisco WebDialer Web Service „Started“ lautet, ist der Dienst aktiv und das System potenziell verwundbar.
- Updates installieren: Aktualisieren Sie Unified CM und Unified CM SME auf die Versionen 14SU6 oder 15SU5, in denen die Schwachstelle behoben ist.
- Vorübergehende Risikominderung: Falls eine sofortige Aktualisierung nicht möglich ist, deaktivieren Sie den Dienst WebDialer bis zur Einspielung des Patches.
Zusätzliche Maßnahmen
- Führen Sie eine Prüfung der HTTP-Protokolle der Unified-CM-Server auf ungewöhnliche Anfragen an die WebDialer-Komponente durch
- Überprüfen Sie das Dateisystem der Server auf untypische Dateien, die möglicherweise durch Ausnutzung der Schwachstelle geschrieben wurden
- Beschränken Sie den Netzwerkzugang zur Managementoberfläche von Unified CM, sofern diese aus nicht vertrauenswürdigen Segmenten erreichbar ist
Angesichts des verfügbaren öffentlichen PoC und der Berichte über Ausnutzungsversuche ist die Reaktionspriorität hoch. Organisationen mit aktiviertem WebDialer wird empfohlen, den Patch innerhalb der nächsten 24–48 Stunden einzuspielen oder den Dienst zu deaktivieren, ohne auf eine Bestätigung breit angelegter Ausnutzung durch Cisco oder eine Aufnahme in den CISA-KEV-Katalog zu warten.
