Sicherheitsforscher haben aktive Angriffe bestätigt, die die Cisco-Sicherheitslücke CVE-2026-20230 ausnutzen. Die schwerwiegende Schwachstelle betrifft Cisco Unified Communications Manager (Unified CM) sowie Unified Communications Manager Session Management Edition (Unified CM SME). Cisco veröffentlichte die Sicherheitswarnung Anfang des Monats und erklärte, dass Angreifer letztlich Root-Zugriff auf verwundbare Systeme erlangen können.
Die Bestätigung realer Angriffe erhöht den Druck auf Unternehmen, die auf Ciscos Kommunikationsplattformen angewiesen sind. Sicherheitsteams haben nun nur ein begrenztes Zeitfenster, um betroffene Systeme zu patchen, bevor Angreifer ihre Kampagnen ausweiten.
Forscher beobachten aktive Ausnutzung
Das Threat-Intelligence-Unternehmen Defused hat aktive Versuche zur Ausnutzung verwundbarer Cisco-Unified-CM-Installationen beobachtet. Die Forscher verfolgten Angriffe von einer einzelnen IP-Adresse und identifizierten Aktivitäten, bei denen speziell präparierte Anfragen mit exponierten Systemen interagierten.
Die Angreifer konzentrierten sich offenbar zunächst darauf, die Schwachstelle zu überprüfen, anstatt Systeme sofort zu kompromittieren. Die Forscher fanden Hinweise darauf, dass die Akteure Testdateien auf den Zielsystemen erstellen wollten. Cyberkriminelle nutzen diese Methode häufig, um zu bestätigen, dass eine Schwachstelle tatsächlich ausnutzbar ist, bevor sie aggressivere Angriffe starten.
Obwohl die beobachteten Aktivitäten bislang begrenzt erscheinen, warnen Sicherheitsexperten davor, dass Angreifer häufig mit Aufklärungsmaßnahmen beginnen, bevor sie zu groß angelegten Angriffen übergehen. Sobald sie verwundbare Systeme identifiziert haben, folgen oft komplexere Schadprogramme und Mechanismen zur dauerhaften Persistenz.
Die Schwachstelle kann Root-Zugriff ermöglichen
Cisco hat der Schwachstelle die Kennung CVE-2026-20230 zugewiesen und sie als SSRF-Lücke (Server-Side Request Forgery) eingestuft. Die betroffene Software validiert bestimmte HTTP-Anfragen nicht korrekt, wodurch Angreifer das Systemverhalten manipulieren können.
Ein Angreifer kann die Schwachstelle aus der Ferne und ohne Authentifizierung ausnutzen, indem er speziell präparierte Anfragen an ein verwundbares System sendet. Eine erfolgreiche Ausnutzung ermöglicht das Schreiben von Dateien auf das zugrunde liegende Betriebssystem.
Anschließend können Angreifer diese Dateien nutzen, um ihre Berechtigungen zu erweitern und Root-Zugriff zu erlangen. Aufgrund dieses Angriffspfads bewertet Cisco die Schwachstelle als kritisch, obwohl ihr CVSS-Wert bei 8,6 liegt.
Root-Zugriff verschafft Angreifern umfassende Kontrolle über kompromittierte Systeme. Sie können Konfigurationen verändern, zusätzliche Werkzeuge installieren, sensible Informationen sammeln und sich möglicherweise weiter innerhalb des Unternehmensnetzwerks ausbreiten.
WebDialer bildet die wichtigste Angriffsfläche
Die Schwachstelle betrifft ausschließlich Systeme, auf denen der Cisco-WebDialer-Dienst aktiviert ist. Cisco deaktiviert WebDialer standardmäßig, doch viele Unternehmen aktivieren den Dienst, um Click-to-Call-Funktionen und andere Telefonieintegrationen zu unterstützen.
Das Risiko variiert daher erheblich zwischen verschiedenen Umgebungen, da nicht jede Installation den Dienst nutzt. Administratoren sollten umgehend prüfen, ob WebDialer auf ihren Systemen aktiv ist, und das damit verbundene Risiko bewerten.
Besonders gefährdet sind Unified-CM-Installationen, die direkt aus dem Internet erreichbar sind. Angreifer können diese Systeme leichter identifizieren und gezielt angreifen. Sicherheitsforscher empfehlen, die externe Erreichbarkeit zu überprüfen und unnötige Zugriffe einzuschränken.
Cisco fordert sofortige Maßnahmen
Cisco hat bereits Sicherheitsupdates veröffentlicht, um die Schwachstelle zu beheben. Das Unternehmen fordert Kunden auf, betroffene Installationen so schnell wie möglich zu aktualisieren, da die Lücke inzwischen aktiv ausgenutzt wird.
Organisationen, die die Updates nicht sofort installieren können, sollten den WebDialer-Dienst vorübergehend deaktivieren. Sicherheitsteams sollten außerdem auf verdächtige Dateierstellungen, ungewöhnliche HTTP-Anfragen und Hinweise auf unautorisierte Zugriffsversuche achten.
Cisco hat bislang keine großflächigen Kompromittierungen gemeldet. Die zunehmende Zahl von Ausnutzungsversuchen deutet jedoch darauf hin, dass Angreifer aktiv nach verwundbaren Systemen im Internet suchen.
Mit der steigenden Bekanntheit der Schwachstelle rechnen Forscher damit, dass weitere Bedrohungsakteure ungepatchte Installationen ins Visier nehmen werden.
Fazit
Cisco CVE-2026-20230 hat sich von einer veröffentlichten Schwachstelle zu einer aktiv ausgenutzten Bedrohung entwickelt. Forscher haben bereits Angreifer beobachtet, die exponierte Unified-CM- und Unified-CM-SME-Systeme überprüfen, wodurch das Risiko für Unternehmen mit verwundbaren Versionen steigt.
Administratoren sollten betroffene Systeme umgehend identifizieren, WebDialer nach Möglichkeit deaktivieren und die von Cisco bereitgestellten Sicherheitsupdates ohne Verzögerung installieren. Schnelles Handeln bleibt die wirksamste Methode, um Root-Zugriff durch Angreifer und die Kompromittierung kritischer Kommunikationsinfrastrukturen zu verhindern.


0 Kommentare zu „Die Cisco-Sicherheitslücke CVE-2026-20230 wird in aktiven Angriffen ausgenutzt“