Angriffe auf Cisco Unified CM nach Veröffentlichung technischer Details beobachtet

Zusammenfassung

Eine kürzlich veröffentlichte kritische Schwachstelle in Cisco Unified Communications Manager (Unified CM) und Unified Communications Manager Session Management Edition (Unified CM SME) wird nach Angaben von Defused Cyber bereits aktiv angegriffen. Die Lücke mit der Kennung CVE-2026-20230 und einem CVSS-Wert von 8,6 betrifft die Verarbeitung bestimmter HTTP-Anfragen und kann laut Cisco Server-Side Request Forgery ermöglichen. Bei erfolgreicher Ausnutzung könnten Angreifer Dateien auf dem zugrunde liegenden Betriebssystem schreiben, die sich später für eine Rechteausweitung bis auf Root-Ebene nutzen lassen. Voraussetzung für einen erfolgreichen Angriff ist allerdings, dass der WebDialer-Dienst aktiviert ist. Cisco weist darauf hin, dass dieser standardmäßig deaktiviert ist. Patches stehen für Unified CM und Unified CM SME in den Versionen 14SU6 und 15SU5 bereit. Falls ein sofortiges Update nicht möglich ist, empfiehlt Cisco, den WebDialer-Dienst bis zur Installation der Fehlerbehebung zu deaktivieren.

Cisco warnt vor einer kritischen Schwachstelle in Unified CM und Unified CM SME, die inzwischen nach Beobachtungen von Defused Cyber aktiv ausgenutzt wird. Die als CVE-2026-20230 geführte Lücke erhält einen CVSS-Wert von 8,6 und geht laut Cisco auf eine unzureichende Eingabevalidierung bei bestimmten HTTP-Anfragen zurück.

Nach Beschreibung des Herstellers kann ein nicht authentifizierter Angreifer die Schwachstelle aus der Ferne über eine präparierte HTTP-Anfrage ausnutzen, um Server-Side-Request-Forgery-Angriffe über ein betroffenes Gerät durchzuführen. Cisco erklärte in einem Sicherheitshinweis von Anfang dieses Monats, eine erfolgreiche Ausnutzung könne es Angreifern erlauben, Dateien auf dem zugrunde liegenden Betriebssystem zu schreiben. Diese Dateien könnten später für eine Eskalation der Rechte bis auf Root genutzt werden.

Defused Cyber teilte zu Beginn dieser Woche auf X mit, aktive Ausnutzung der Schwachstelle beobachtet zu haben. Nach Angaben des Unternehmens gingen die Angriffe derzeit von einer einzelnen Quelle aus, die einen nicht überprüften Proof of Concept verwende. Dabei seien auf den eigenen Ködersystemen Dateischreib-Payloads mit tatsächlich korrekt formatierten file://-Pfaden angekommen.

Für eine erfolgreiche Ausnutzung muss allerdings der WebDialer-Dienst aktiviert sein. Cisco zufolge ist dieser Dienst standardmäßig deaktiviert. Der Hersteller verweist darauf, dass sich der Status des Dienstes überprüfen lässt, und empfiehlt als Ausweichmaßnahme das Deaktivieren von WebDialer, falls ein Patch nicht sofort eingespielt werden kann.

Behoben ist die Schwachstelle in Unified CM und Unified CM SME mit den Versionen 14SU6 und 15SU5. Zusätzliche technische Details zu CVE-2026-20230 hat inzwischen auch SSD Secure Disclosure veröffentlicht. Dort wird die Lücke als Fehler beschrieben, der es nicht authentifizierten Angreifern erlaubt, beliebige Dateien auf dem Server zu schreiben. Dazu werde die WebDialer-Komponente genutzt, um den tatsächlichen Hostnamen des Ziels zu ermitteln und letztlich Codeausführung zu erreichen.

Cisco hat seinen Sicherheitshinweis bislang noch nicht um den Status der aktiven Ausnutzung ergänzt. Bereits in der vergangenen Woche hatte das Netzwerkunternehmen Sicherheitsupdates für eine Schwachstelle mittlerer Schwere im Catalyst SD-WAN Manager veröffentlicht. Diese zweite Lücke, CVE-2026-20262 mit einem CVSS-Wert von 6,5, wird laut dem Bericht ebenfalls bereits aktiv in freier Wildbahn ausgenutzt.

Angriffe auf Cisco Unified CM nach Veröffentlichung technischer Details beobachtet

Ähnliche Artikel

Neueste Artikel