Sikkerhedsforskere har bekræftet aktive angreb, der udnytter Cisco CVE-2026-20230, en alvorlig sårbarhed, som påvirker Cisco Unified Communications Manager (Unified CM) og Unified Communications Manager Session Management Edition (Unified CM SME). Cisco offentliggjorde fejlen tidligere på måneden og advarede om, at angribere i sidste ende kan opnå root-adgang til sårbare systemer.
Bekræftelsen af aktiv udnyttelse øger presset på organisationer, der benytter Ciscos kommunikationsplatforme. Sikkerhedsteams har nu et begrænset tidsvindue til at opdatere eksponerede systemer, før angriberne udvider deres kampagner.
Forskere observerer aktiv udnyttelse
Trusselsanalysevirksomheden Defused har observeret aktive forsøg på at udnytte sårbare Cisco Unified CM-installationer. Forskerne sporede angreb fra en enkelt IP-adresse og identificerede aktivitet, hvor specialudformede forespørgsler blev brugt til at kommunikere med eksponerede systemer.
Angriberne så ud til primært at fokusere på at verificere sårbarheden frem for straks at kompromittere systemerne. Forskerne fandt tegn på, at trusselsaktørerne forsøgte at oprette testfiler på de målrettede enheder. Cyberkriminelle bruger ofte denne metode til at bekræfte, at en sårbarhed fungerer, før de iværksætter mere aggressive operationer.
Selvom den observerede aktivitet fortsat er begrænset, advarer sikkerhedseksperter om, at angribere ofte begynder med rekognoscering, før de går videre til omfattende udnyttelse. Når trusselsaktører identificerer sårbare mål, følger ofte mere avancerede nyttelaster og mekanismer til vedvarende adgang.
Sårbarheden kan føre til root-adgang
Cisco har tildelt sårbarheden identifikatoren CVE-2026-20230 og klassificeret den som en SSRF-sårbarhed (Server-Side Request Forgery). Den berørte software validerer ikke visse HTTP-forespørgsler korrekt, hvilket giver angribere mulighed for at manipulere systemets adfærd.
En angriber kan udnytte sårbarheden eksternt uden autentificering ved at sende specialudformede forespørgsler til en sårbar enhed. En vellykket udnyttelse gør det muligt at skrive filer til det underliggende operativsystem.
Angriberen kan derefter bruge disse filer til at eskalere privilegier og opnå root-adgang. På grund af denne angrebskæde har Cisco vurderet sårbarheden som kritisk, selvom dens CVSS-score er 8,6.
Root-adgang giver angribere omfattende kontrol over et kompromitteret system. De kan ændre konfigurationer, installere yderligere værktøjer, indsamle følsomme oplysninger og potentielt bevæge sig dybere ind i virksomhedens netværk.
WebDialer udgør den primære angrebsflade
Sårbarheden påvirker kun systemer, der kører Ciscos WebDialer-tjeneste. Cisco deaktiverer WebDialer som standard, men mange organisationer aktiverer tjenesten for at understøtte klik-for-at-ringe-funktioner og andre telefoniintegrationer.
Eksponeringen varierer derfor betydeligt mellem forskellige miljøer, da ikke alle installationer bruger tjenesten. Administratorer bør straks undersøge, om WebDialer er aktiveret i deres miljø, og vurdere den tilknyttede risiko.
Interneteksponerede Unified CM-installationer står over for den største risiko, fordi angribere lettere kan finde og målrette dem. Sikkerhedsforskere anbefaler at gennemgå ekstern eksponering og begrænse unødvendig adgang, hvor det er muligt.
Cisco opfordrer til øjeblikkelig handling
Cisco udgav sikkerhedsopdateringer tidligere på måneden for at afhjælpe sårbarheden. Virksomheden opfordrer kunder til at opgradere berørte installationer så hurtigt som muligt, nu hvor aktiv udnyttelse er blevet bekræftet.
Organisationer, der ikke kan installere opdateringerne med det samme, bør deaktivere WebDialer som en midlertidig afhjælpning. Sikkerhedsteams bør også overvåge systemer for mistænkelig filoprettelse, usædvanlige HTTP-forespørgsler og tegn på uautoriserede adgangsforsøg.
Cisco har endnu ikke rapporteret om omfattende kompromitteringer. Det stigende antal udnyttelsesforsøg tyder dog på, at angribere aktivt søger efter sårbare systemer på internettet.
Efterhånden som kendskabet til sårbarheden spreder sig, forventer forskere, at flere trusselsaktører vil begynde at målrette ikke-opdaterede installationer.
Konklusion
Cisco CVE-2026-20230 er gået fra at være en offentliggjort sårbarhed til en aktiv sikkerhedstrussel. Forskere har allerede observeret angribere, der undersøger eksponerede Unified CM- og Unified CM SME-systemer, hvilket øger risikoen for organisationer, som fortsat anvender sårbare versioner.
Administratorer bør straks identificere berørte systemer, deaktivere WebDialer, hvor det er muligt, og installere Ciscos sikkerhedsopdateringer uden forsinkelse. Hurtig handling er den mest effektive måde at forhindre angribere i at opnå root-adgang og kompromittere kritisk kommunikationsinfrastruktur.


0 svar til “Cisco-sårbarheden CVE-2026-20230 udnyttes i aktive angreb”