Bedreigingsactoren zijn begonnen met het misbruiken van een onlangs bekendgemaakt kritiek beveiligingslek dat gevolgen heeft voor Cisco Unified Communications Manager (Unified CM) en Unified Communications Manager Session Management Edition (Unified CM SME).
De kwetsbaarheid, bijgehouden als CVE-2026-20230 (CVSS-score: 8,6), is een geval van onjuiste invoervalidatie voor specifieke HTTP-verzoeken waardoor een niet-geverifieerde externe aanvaller SSRF-aanvallen (server-side request forgery) kan uitvoeren via een getroffen apparaat.
“Een aanvaller zou dit beveiligingslek kunnen misbruiken door een vervaardigd HTTP-verzoek naar een getroffen apparaat te sturen”, zei Cisco in een advies dat eerder deze maand werd uitgebracht. “Een succesvolle exploit zou de aanvaller in staat kunnen stellen bestanden naar het onderliggende besturingssysteem te schrijven die later kunnen worden gebruikt om naar root te stijgen.”
In een bericht dat eerder deze week op X werd gedeeld, zei Defused Cyber dat het actieve exploitatie van de kwetsbaarheid bij aanvallen heeft waargenomen. “Dit wordt momenteel vanuit één enkele bron uitgebuit met behulp van een niet-doorgelichte PoC, waarbij echt geformatteerde file:// file-write payloads op onze lokvogels terechtkomen”, aldus het rapport.
Voor een succesvolle exploitatie moet echter de WebDialer-service zijn ingeschakeld. Het is standaard uitgeschakeld. Om te controleren of de WebDialer is ingeschakeld, kunnen gebruikers de volgende stappen uitvoeren:
- Meld u aan bij de Cisco Unified CM Administration-interface
- Kies Cisco Unified Serviceability in het navigatiemenu en klik op Go
- Kies in het menu Extra de optie Controlecentrum – Functieservices
- Controleer in het gedeelte CTI Services van de pagina of de huidige status van de Cisco WebDialer-webservice Gestart of Niet actief is
- Als de status Gestart is, is WebDialer ingeschakeld
Het beveiligingslek is gepatcht in Unified CM en Unified CM SME versies 14SU6 en 15SU5. Als onmiddellijk patchen geen optie is, wordt geadviseerd de WebDialer-service uit te schakelen totdat er een oplossing kan worden toegepast.
SSD Secure Disclosure heeft sindsdien aanvullende technische details van CVE-2026-20230 gepubliceerd, waarin het wordt beschreven als een fout waardoor niet-geverifieerde aanvallers willekeurig bestanden op de server kunnen schrijven door gebruik te maken van de Webdialer-component om de echte hostnaam van het doel te achterhalen en uiteindelijk code-uitvoering te bewerkstelligen.
Cisco moet het advies nog bijwerken om de exploitatiestatus weer te geven. Vorige week bracht het netwerkbeveiligingsbedrijf beveiligingsupdates uit voor een middelzware beveiligingsfout in Catalyst SD-WAN Manager (CVE-2026-20262, CVSS-score: 6,5) die in het wild actief wordt uitgebuit.
