Cisco har bekreftet at angripere aktivt utnytter en sårbarhet i Cisco Unified CM som gjør det mulig å gjennomføre eksterne SSRF-angrep (Server-Side Request Forgery). Sårbarheten, som har identifikatoren CVE-2026-20230, ble rettet med sikkerhetsoppdateringer i begynnelsen av juni. Kort tid senere oppdaget sikkerhetsforskere at angripere begynte å bruke offentlig tilgjengelige exploit-teknikker mot sårbare systemer.
Cisco oppfordrer nå alle organisasjoner som bruker Cisco Unified Communications Manager (Unified CM) til å installere sikkerhetsoppdateringene så raskt som mulig eller ta i bruk midlertidige sikkerhetstiltak dersom de ikke kan oppdatere umiddelbart.
Angripere begynte å utnytte sårbarheten få uker etter oppdateringen
Cisco offentliggjorde sårbarheten 3. juni da selskapet lanserte sikkerhetsoppdateringer for CVE-2026-20230.
På det tidspunktet bekreftet selskapets Product Security Incident Response Team (PSIRT) at offentlig proof-of-concept-kode allerede var tilgjengelig. Cisco opplyste imidlertid at de ennå ikke hadde registrert aktive angrep.
Situasjonen endret seg senere i juni.
Trusseletterretningsselskapet Defused rapporterte 22. juni at angripere hadde begynt å utnytte sårbarheten ved hjelp av spesialutformede file://-payloads, som kunne opprette filer på utsatte systemer.
Dagen etter publiserte forskere fra SSD Secure en teknisk analyse av sårbarheten og gjorde samtidig sin egen proof-of-concept-exploit offentlig tilgjengelig.
Cisco bekrefter nå pågående angrep
Cisco har nå oppdatert sitt sikkerhetsvarsel og bekrefter at CVE-2026-20230 blir aktivt utnyttet.
Ifølge selskapet ble sikkerhetsteamet kjent med den aktive utnyttelsen i løpet av juni, og Cisco anbefaler fortsatt alle kunder å oppgradere til en programvareversjon der sårbarheten er rettet.
Sårbarheten påvirker Cisco Unified Communications Manager, tidligere kjent som Cisco CallManager, som fungerer som den sentrale plattformen for Cisco-baserte IP-telefonsystemer ved å håndtere samtaleruting, telefonitjenester og tilkoblede enheter.
Angriperne trenger ingen spesielle rettigheter for å utnytte sårbarheten. De kan i stedet sende en spesialutformet HTTP-forespørsel som utløser et SSRF-angrep mot sårbare servere.
Cisco anbefaler umiddelbare sikkerhetstiltak
Organisasjoner som ikke umiddelbart kan oppgradere til Cisco Unified CM 14SU6, 15SU5 eller de tilsvarende COP-oppdateringene, bør deaktivere den sårbare WebDialer-tjenesten frem til oppgraderingen er fullført.
Cisco opplyser at dette blokkerer angrep som forsøker å utnytte CVE-2026-20230 gjennom den berørte komponenten.
Hundrevis av systemer er fortsatt eksponert
Internettovervåkingsorganisasjonen Shadowserver registrerer for øyeblikket mer enn 200 internetteksponerte Cisco Unified CM-installasjoner, hvor de fleste befinner seg i Asia og Nord-Amerika.
Forskerne har ennå ikke opplyst hvor mange av disse systemene som har installert sikkerhetsoppdateringene, eller hvor mange som fortsatt er sårbare for de pågående angrepene.
Cisco møter fortsatt aktive trusler mot Unified CM
Cisco har de siste årene rettet flere alvorlige sårbarheter i Unified CM.
Tidligere sårbarheter, blant annet CVE-2024-20253 og CVE-2025-20309, gjorde det mulig for angripere å oppnå root-tilgang på berørte systemer. En annen sårbarhet, CVE-2026-20045, ble utnyttet som en zero-day for å oppnå ekstern kjøring av kode før sikkerhetsoppdateringer ble tilgjengelige.
Utviklingen viser også at angripere fortsatt retter stor oppmerksomhet mot Ciscos produkter. Siden november 2021 har den amerikanske cybersikkerhetsmyndigheten CISA lagt til 93 Cisco-sårbarheter i sin katalog over sikkerhetshull som er aktivt utnyttet. Myndigheten har dessuten knyttet seks av disse sårbarhetene til ransomware-kampanjer.
Ettersom angripere fortsetter å rette seg mot virksomheters kommunikasjonsplattformer, bør organisasjoner som bruker Cisco Unified CM prioritere å installere de nyeste sikkerhetsoppdateringene for å redusere risikoen for kompromittering.


0 responses to “Cisco bekrefter aktiv utnyttelse av sårbarhet i Unified CM”