Säkerhetsforskare har bekräftat aktiva attacker som utnyttjar Cisco CVE-2026-20230, en allvarlig sårbarhet som påverkar Cisco Unified Communications Manager (Unified CM) och Unified Communications Manager Session Management Edition (Unified CM SME). Cisco offentliggjorde bristen tidigare denna månad och varnade för att angripare i slutändan kan få root-åtkomst till sårbara system.
Bekräftelsen av attacker i verkliga miljöer ökar pressen på organisationer som använder Ciscos kommunikationsplattformar. Säkerhetsteam har nu begränsad tid på sig att uppdatera utsatta system innan angripare utökar sina kampanjer.
Forskare observerar aktiv exploatering
Hotunderrättelseföretaget Defused har observerat aktiva försök att utnyttja sårbara installationer av Cisco Unified CM. Forskarna spårade attacker från en enskild IP-adress och identifierade aktivitet där specialutformade förfrågningar användes för att interagera med exponerade system.
Angriparna verkade främst fokusera på att verifiera sårbarheten snarare än att omedelbart kompromettera systemen. Forskarna hittade bevis på att hotaktörerna försökte skapa testfiler på de riktade enheterna. Cyberkriminella använder ofta denna metod för att bekräfta att en sårbarhet fungerar innan de inleder mer aggressiva operationer.
Även om den observerade aktiviteten fortfarande är begränsad varnar säkerhetsexperter för att angripare ofta inleder med kartläggning innan de går vidare till storskalig exploatering. När hotaktörer identifierar sårbara mål följer ofta mer avancerade nyttolaster och metoder för att behålla åtkomst.
Sårbarheten kan ge root-åtkomst
Cisco har gett sårbarheten beteckningen CVE-2026-20230 och klassificerat den som en SSRF-brist (Server-Side Request Forgery). Den berörda programvaran validerar inte vissa HTTP-förfrågningar korrekt, vilket skapar möjligheter för angripare att manipulera systemets beteende.
En angripare kan utnyttja sårbarheten på distans utan autentisering genom att skicka specialutformade förfrågningar till en sårbar enhet. En lyckad attack gör det möjligt att skriva filer till det underliggande operativsystemet.
Angriparen kan därefter använda dessa filer för att höja sina behörigheter och få root-åtkomst. På grund av denna attackkedja gav Cisco sårbarheten en kritisk säkerhetsklassificering trots ett CVSS-värde på 8,6.
Root-åtkomst ger angripare omfattande kontroll över ett komprometterat system. De kan ändra konfigurationer, installera ytterligare verktyg, samla in känslig information och potentiellt ta sig vidare in i företagets nätverk.
WebDialer utgör den huvudsakliga attackytan
Sårbarheten påverkar endast system där Ciscos WebDialer-tjänst är aktiverad. Cisco inaktiverar WebDialer som standard, men många organisationer aktiverar tjänsten för att stödja klick-för-att-ringa-funktioner och andra telefoniintegrationer.
Risknivån varierar därför kraftigt mellan olika miljöer eftersom inte alla installationer använder tjänsten. Administratörer bör omedelbart kontrollera om WebDialer körs i deras miljöer och bedöma den tillhörande risken.
Internetexponerade Unified CM-installationer löper störst risk eftersom angripare lättare kan upptäcka och rikta in sig på dem. Säkerhetsforskare rekommenderar att organisationer granskar extern exponering och begränsar onödig åtkomst där det är möjligt.
Cisco uppmanar till omedelbara åtgärder
Cisco släppte säkerhetsuppdateringar tidigare denna månad för att åtgärda sårbarheten. Företaget uppmanar kunder att uppdatera berörda installationer så snabbt som möjligt nu när aktiv exploatering har bekräftats.
Organisationer som inte kan installera uppdateringarna omedelbart bör tillfälligt inaktivera WebDialer. Säkerhetsteam bör också övervaka systemen efter misstänkt filskapande aktivitet, ovanliga HTTP-förfrågningar och tecken på obehöriga åtkomstförsök.
Cisco har ännu inte rapporterat några omfattande komprometteringar. Det växande antalet exploateringsförsök tyder dock på att angripare aktivt söker efter sårbara system på internet.
I takt med att kännedomen om sårbarheten sprids förväntar sig forskare att fler hotaktörer börjar rikta in sig på system som fortfarande saknar uppdateringar.
Slutsats
Cisco CVE-2026-20230 har gått från att vara en offentliggjord sårbarhet till ett aktivt säkerhetshot. Forskare har redan observerat angripare som undersöker exponerade Unified CM- och Unified CM SME-system, vilket ökar risken för organisationer som fortfarande använder sårbara versioner.
Administratörer bör omedelbart identifiera berörda system, inaktivera WebDialer där det är möjligt och installera Ciscos säkerhetsuppdateringar utan dröjsmål. Snabba åtgärder är det mest effektiva sättet att förhindra att angripare får root-åtkomst och komprometterar kritisk kommunikationsinfrastruktur.


0 svar till ”Cisco-sårbarheten CVE-2026-20230 utnyttjas i pågående attacker”