CVE-2026-20230, ранливост со висока сериозност во Cisco Unified Communications Manager Server, веќе се искористува во напади.

Cisco објави безбедносни ажурирања за ранливоста CVE-2026-20230 на 3 јуни, предупредувајќи дека нејзиното искористување може да им овозможи на напаѓачите root привилегии на уредот.

„Ранливост во Cisco Unified Communications Manager (Unified CM) и Cisco Unified Communications Manager Session Management Edition (Unified CM SME) може да му овозможи на неавтентициран, далечински напаѓач да изврши SSRF (server-side request forgery) напади преку погоден уред“, предупреди Cisco.

„Оваа ранливост се должи на неправилна валидација на влезните податоци за одредени HTTP барања. Напаѓачот може да ја искористи ранливоста со испраќање специјално креирано HTTP барање до погодениот уред. Успешното искористување може да му овозможи на напаѓачот да запишува датотеки во основниот оперативен систем, кои подоцна можат да се искористат за добивање root пристап.“

Ранливоста му била пријавена на Cisco од SSD Secure, која во тој момент не споделила технички детали.

Денес, компанијата за разузнавање за закани Defused предупреди дека ранливоста веќе активно се користи во напади.

„Во текот на викендот забележавме искористување на CVE-2026-20230 – Cisco Unified CM (CUCM) WebDialer SSRF → root запишување датотеки (CVSS 8.6). Нема претходно забележано искористување и сè уште не е наведена во CISA KEV листата“, предупреди Defused на X.

Defused наведува дека нападите доаѓаат од една IP адреса и користат правилно конструирани file:// payload-и за креирање датотеки на уредот.

Иако ранливоста може да се искористи во напади за поставување webshell-и и добивање root привилегии, PoC примерокот што го забележала Defused изгледа дека е наменет за идентификување на ранливи уреди со обид да запише текстуална датотека со име /tmp/cve-2026-20230-test.txt на нив.

Откако ранливоста беше јавно објавена, SSD Secure објави технички извештај за проблемот, објаснувајќи како функционира ранливоста и сподели proof-of-concept експлоит.

Истражувачите откриле дека неавтентициран напаѓач може да го злоупотреби начинот на кој компонентата Webdialer обработува URL адреси внесени од корисникот, со што може да ја натера апликацијата да запишува произволни датотеки во оперативниот систем преку file:// URI адреси.

Со контролирање на патеката до датотеката и содржината што се запишува на дискот, напаѓачот може да ја искористи грешката за извршување далечински код (remote code execution) и на крај да добие root привилегии на ранливите уреди.

SSD Secure забележа дека за искористување на ранливоста напаѓачот прво треба да го добие hostname-от на целниот систем пред да го изврши нападот со запишување датотеки. Сепак, истражувачите покажаа како тие информации можат да се извлечат од уредот уште пред самото искористување.

Иако сегашното искористување изгледа дека е повеќе со извидувачка (reconnaissance) цел, сега кога ранливоста е целосно откриена, веројатно ќе видиме повеќе напаѓачи кои ќе ги таргетираат овие сервери.

BleepingComputer контактираше со Cisco за да праша дали и тие забележуваат дека ранливоста се користи во напади и дали можат да споделат какви било IOC (индикатори за компромитација) со безбедносните тимови, а написот ќе биде ажуриран доколку добијат одговор.

Извори:

• Bleeping Computer – Cisco Unified CM flaw CVE-2026-20230 now exploited in attacks Bleeping Computer