Cisco hat bestätigt, dass Angreifer eine Schwachstelle in Cisco Unified CM aktiv ausnutzen, die SSRF-Angriffe (Server-Side Request Forgery) aus der Ferne ermöglicht. Die Sicherheitslücke mit der Kennung CVE-2026-20230 wurde bereits Anfang Juni mit Sicherheitsupdates geschlossen. Kurz darauf beobachteten Sicherheitsforscher jedoch, dass Angreifer öffentlich verfügbare Exploit-Techniken gegen verwundbare Systeme einsetzten.

Cisco fordert Unternehmen, die Cisco Unified Communications Manager (Unified CM) einsetzen, nun dringend auf, die verfügbaren Sicherheitsupdates umgehend zu installieren oder vorübergehende Schutzmaßnahmen zu ergreifen, falls eine sofortige Aktualisierung nicht möglich ist.

Angreifer nutzten die Schwachstelle wenige Wochen nach dem Patch aus

Cisco veröffentlichte die Schwachstelle am 3. Juni zusammen mit Sicherheitsupdates für CVE-2026-20230.

Damals bestätigte das Product Security Incident Response Team (PSIRT) des Unternehmens, dass bereits öffentlich verfügbarer Proof-of-Concept-Code existierte. Cisco erklärte jedoch, zu diesem Zeitpunkt noch keine aktiven Angriffe beobachtet zu haben.

Das änderte sich später im Juni.

Das Threat-Intelligence-Unternehmen Defused berichtete am 22. Juni, dass Angreifer begonnen hatten, die Schwachstelle mithilfe speziell präparierter file://-Payloads auszunutzen, mit denen sich Dateien auf den betroffenen Systemen erstellen lassen.

Einen Tag später veröffentlichten Forscher von SSD Secure eine technische Analyse der Schwachstelle und stellten zudem einen eigenen Proof-of-Concept-Exploit bereit.

Cisco bestätigt nun laufende Angriffe

Cisco hat seine ursprüngliche Sicherheitswarnung inzwischen aktualisiert und bestätigt, dass CVE-2026-20230 aktiv ausgenutzt wird.

Nach Angaben des Unternehmens wurde das Sicherheitsteam im Laufe des Juni auf die laufenden Angriffe aufmerksam. Cisco empfiehlt seinen Kunden weiterhin dringend, auf eine Softwareversion zu aktualisieren, in der die Schwachstelle behoben wurde.

Die Sicherheitslücke betrifft Cisco Unified Communications Manager, früher unter dem Namen Cisco CallManager bekannt. Die Plattform dient als zentrales System für Cisco-IP-Telefonieumgebungen und verwaltet Anrufweiterleitung, Telefondienste sowie angeschlossene Geräte.

Für die Ausnutzung der Schwachstelle benötigen Angreifer keine besonderen Berechtigungen. Stattdessen genügt eine speziell präparierte HTTP-Anfrage, um einen SSRF-Angriff gegen verwundbare Server auszulösen.

Cisco empfiehlt sofortige Schutzmaßnahmen

Unternehmen, die nicht sofort auf Cisco Unified CM 14SU6, 15SU5 oder die entsprechenden COP-Updates aktualisieren können, sollten den anfälligen WebDialer-Dienst deaktivieren, bis das Update abgeschlossen ist.

Cisco erklärt, dass sich Angriffe auf CVE-2026-20230 über die betroffene Komponente dadurch wirksam blockieren lassen.

Hunderte Systeme sind weiterhin erreichbar

Die Internet-Überwachungsorganisation Shadowserver registriert derzeit mehr als 200 über das Internet erreichbare Cisco-Unity-CM-Instanzen, von denen sich die meisten in Asien und Nordamerika befinden.

Bislang haben die Forscher nicht bekannt gegeben, wie viele dieser Systeme bereits aktualisiert wurden oder weiterhin anfällig für die laufenden Angriffe sind.

Cisco bleibt ein beliebtes Ziel für Angreifer

Cisco hat in den vergangenen Jahren mehrere schwerwiegende Schwachstellen in Unified CM geschlossen.

Frühere Sicherheitslücken, darunter CVE-2024-20253 und CVE-2025-20309, ermöglichten Angreifern den Erwerb von Root-Rechten auf betroffenen Systemen. Eine weitere Schwachstelle, CVE-2026-20045, wurde bereits als Zero-Day ausgenutzt, um Remotecodeausführung zu erreichen, bevor Sicherheitsupdates verfügbar waren.

Die Entwicklung zeigt zudem, dass Angreifer weiterhin gezielt Cisco-Produkte ins Visier nehmen. Seit November 2021 hat die US-Cybersicherheitsbehörde CISA insgesamt 93 Cisco-Schwachstellen in ihren Katalog aktiv ausgenutzter Sicherheitslücken aufgenommen. Sechs dieser Schwachstellen wurden nach Angaben der Behörde bereits in Ransomware-Kampagnen eingesetzt.

Da Angreifer Unternehmenskommunikationsplattformen weiterhin gezielt angreifen, sollten Organisationen mit Cisco Unified CM die neuesten Sicherheitsupdates möglichst schnell installieren, um das Risiko einer Kompromittierung zu minimieren.


0 Kommentare zu „Cisco bestätigt aktive Ausnutzung einer Schwachstelle in Unified CM“