Cisco har bekræftet, at angribere aktivt udnytter en sårbarhed i Cisco Unified CM, som gør det muligt at udføre eksterne SSRF-angreb (Server-Side Request Forgery). Sårbarheden, der er registreret som CVE-2026-20230, blev rettet med sikkerhedsopdateringer i begyndelsen af juni. Kort tid efter opdagede sikkerhedsforskere, at angribere begyndte at bruge offentligt tilgængelige exploit-teknikker mod sårbare systemer.
Cisco opfordrer nu alle organisationer, der anvender Cisco Unified Communications Manager (Unified CM), til at installere sikkerhedsopdateringerne hurtigst muligt eller iværksætte midlertidige afværgeforanstaltninger, hvis de ikke kan opdatere med det samme.
Angribere begyndte at udnytte sårbarheden få uger efter opdateringen
Cisco offentliggjorde sårbarheden den 3. juni, da virksomheden udsendte sikkerhedsopdateringer til CVE-2026-20230.
På det tidspunkt bekræftede virksomhedens Product Security Incident Response Team (PSIRT), at offentlig proof-of-concept-kode allerede var tilgængelig. Cisco oplyste dog, at man endnu ikke havde registreret aktive angreb.
Situationen ændrede sig senere i juni.
Trusselsanalysevirksomheden Defused rapporterede den 22. juni, at angribere var begyndt at udnytte sårbarheden ved hjælp af specialudformede file://-payloads, som kunne oprette filer på de berørte systemer.
Dagen efter offentliggjorde forskere fra SSD Secure en teknisk analyse af sårbarheden og udgav samtidig deres egen proof-of-concept-exploit.
Cisco bekræfter nu igangværende angreb
Cisco har nu opdateret sin sikkerhedsmeddelelse og bekræfter, at CVE-2026-20230 bliver udnyttet i aktive angreb.
Ifølge virksomheden blev sikkerhedsteamet opmærksom på den aktive udnyttelse i løbet af juni, og Cisco anbefaler fortsat alle kunder at opgradere til en softwareversion, hvor sårbarheden er rettet.
Sårbarheden påvirker Cisco Unified Communications Manager, tidligere kendt som Cisco CallManager, som fungerer som den centrale platform for Cisco-baserede IP-telefonsystemer ved at håndtere opkaldsrouting, telefonitjenester og tilsluttede enheder.
Angribere behøver ingen særlige rettigheder for at udnytte sårbarheden. De kan i stedet sende en specialudformet HTTP-anmodning, som udløser et SSRF-angreb mod sårbare servere.
Cisco anbefaler øjeblikkelige afværgeforanstaltninger
Organisationer, som ikke straks kan opgradere til Cisco Unified CM 14SU6, 15SU5 eller de tilsvarende COP-opdateringer, bør deaktivere den sårbare WebDialer-tjeneste, indtil opgraderingen er gennemført.
Cisco oplyser, at dette blokerer angreb, der forsøger at udnytte CVE-2026-20230 via den berørte komponent.
Hundredevis af systemer er fortsat eksponeret
Internetovervågningsorganisationen Shadowserver registrerer i øjeblikket mere end 200 interneteksponerede Cisco Unified CM-installationer, hvoraf de fleste befinder sig i Asien og Nordamerika.
Forskerne har endnu ikke oplyst, hvor mange af disse systemer der allerede har installeret sikkerhedsopdateringerne, eller hvor mange der fortsat er sårbare over for de igangværende angreb.
Cisco står fortsat over for aktive trusler mod Unified CM
Cisco har i de seneste år rettet flere alvorlige sårbarheder i Unified CM.
Tidligere sårbarheder, herunder CVE-2024-20253 og CVE-2025-20309, gjorde det muligt for angribere at opnå root-adgang til de berørte systemer. En anden sårbarhed, CVE-2026-20045, blev udnyttet som en zero-day til at opnå fjernudførelse af kode, før sikkerhedsopdateringer blev gjort tilgængelige.
Udviklingen viser også, at angribere fortsat har stor interesse i Ciscos produkter. Siden november 2021 har den amerikanske cybersikkerhedsmyndighed CISA tilføjet 93 Cisco-sårbarheder til sin liste over sikkerhedsfejl, der udnyttes aktivt. Myndigheden har desuden knyttet seks af disse sårbarheder til ransomware-kampagner.
I takt med at angribere fortsætter med at gå efter virksomheders kommunikationsplatforme, bør organisationer, der anvender Cisco Unified CM, prioritere at installere de nyeste sikkerhedsopdateringer for at reducere risikoen for kompromittering.


0 svar til “Cisco bekræfter aktiv udnyttelse af sårbarhed i Unified CM”