Cisco-Lücke CVE-2026-20230 in Unified CM wird jetzt aktiv angegriffen

Zusammenfassung

Eine schwerwiegende SSRF-Schwachstelle in Cisco Unified Communications Manager Server wird inzwischen in laufenden Angriffen ausgenutzt. Die als CVE-2026-20230 geführte Lücke betrifft laut Cisco sowohl Unified CM als auch Unified CM Session Management Edition und kann einem nicht authentifizierten Angreifer aus der Ferne ermöglichen, speziell präparierte HTTP-Anfragen an ein verwundbares System zu senden. Cisco hatte die Sicherheitsupdates dafür am 3. Juni veröffentlicht und damals gewarnt, dass sich die Schwachstelle dazu missbrauchen lässt, Dateien auf das zugrunde liegende Betriebssystem zu schreiben und so später Root-Rechte zu erlangen. Entdeckt und an Cisco gemeldet wurde der Fehler von SSD Secure. Inzwischen berichtet das Threat-Intelligence-Unternehmen Defused, dass CVE-2026-20230 aktiv angegriffen wird. Nach Beobachtung von Defused gehen die Angriffe von einer einzelnen IP-Adresse aus und verwenden korrekt aufgebaute file://-Nutzdaten, um Dateien auf den betroffenen Geräten anzulegen. Die bisher beobachteten Versuche scheinen vor allem darauf ausgelegt zu sein, verwundbare Systeme zu identifizieren.

Cisco beschreibt CVE-2026-20230 als Schwachstelle in der Eingabevalidierung für bestimmte HTTP-Anfragen. Dadurch könne ein nicht authentifizierter entfernter Angreifer Server-Side Request Forgery gegen betroffene Geräte ausführen. Gelingt die Ausnutzung, kann der Angreifer laut Hersteller Dateien auf das zugrunde liegende Betriebssystem schreiben, was anschließend zur Ausweitung auf Root-Rechte genutzt werden kann.

Die Schwachstelle betrifft Cisco Unified Communications Manager sowie Cisco Unified Communications Manager Session Management Edition. Cisco hatte die zugehörigen Sicherheitsupdates am 3. Juni bereitgestellt. Zum Zeitpunkt der ursprünglichen Offenlegung hatte SSD Secure zwar die Schwachstelle an Cisco gemeldet, aber noch keine technischen Details veröffentlicht.

Nach Angaben von Defused wird die Lücke nun aktiv ausgenutzt. Das Unternehmen schrieb auf X, über das Wochenende eine Ausnutzung von CVE-2026-20230 beobachtet zu haben, und verwies dabei auf den Angriffsweg über den WebDialer-Bestandteil bis hin zum Schreiben von Dateien mit Root-Bezug. Defused zufolge war zuvor keine Ausnutzung dokumentiert, und die Schwachstelle steht bislang nicht in CISA KEV.

Die beobachteten Angriffe gehen laut Defused von einer einzelnen IP-Adresse aus. Dabei werden korrekt konstruierte file://-Nutzdaten eingesetzt, um Dateien auf dem Gerät anzulegen. Zwar könne die Lücke dazu verwendet werden, Webshells abzulegen und Root-Rechte zu erlangen, doch der von Defused beobachtete Proof of Concept wirke eher wie ein Test auf Verwundbarkeit: Er versucht, auf dem Zielsystem die Textdatei „/tmp/cve-2026-20230-test.txt“ zu schreiben.

Nachdem die Ausnutzung bekannt wurde, veröffentlichte SSD Secure eine technische Analyse der Schwachstelle samt Proof of Concept. Die Forscher fanden heraus, dass ein nicht authentifizierter Angreifer die Verarbeitung benutzerkontrollierter URLs in der WebDialer-Komponente missbrauchen kann, um über file://-URIs beliebige Dateien auf das Betriebssystem zu schreiben.

Nach Darstellung von SSD Secure lassen sich durch die Kontrolle über Dateipfad und geschriebenen Inhalt die Voraussetzungen für Remotecodeausführung schaffen, die letztlich zu Root-Rechten auf verwundbaren Geräten führen können. Die Forscher wiesen außerdem darauf hin, dass ein Angreifer vor dem Dateischreib-Angriff zunächst den Hostnamen des Zielsystems kennen muss. In ihrer Analyse zeigten sie jedoch auch, wie sich diese Information vor der eigentlichen Ausnutzung direkt vom Gerät abrufen lässt.

Derzeit wirkt die beobachtete Ausnutzung laut Vorlage vor allem wie Aufklärung. Gleichzeitig sind die technischen Details inzwischen öffentlich, nachdem SSD Secure die Funktionsweise der Schwachstelle und einen Proof of Concept veröffentlicht hat.

Cisco-Lücke CVE-2026-20230 in Unified CM wird jetzt aktiv angegriffen

Ähnliche Artikel

Neueste Artikel