Angriffe auf Schwachstelle in Cisco Unified CM beobachtet

Zusammenfassung

Eine erst kürzlich geschlossene Schwachstelle in Cisco Unified Communications Manager (Unified CM) wird nach Angaben des Exploit-Intelligence-Unternehmens Defused bereits in Angriffen ausgenutzt. Cisco hatte die Updates für CVE-2026-20230 Anfang Juni veröffentlicht und die Lücke als kritisch eingestuft. Laut Hersteller kann ein nicht authentifizierter Angreifer aus der Ferne SSRF-Angriffe durchführen, beliebige Dateien auf das zugrunde liegende Betriebssystem schreiben und seine Rechte bis auf Root-Ebene ausweiten. Voraussetzung für die Ausnutzung ist allerdings, dass der Dienst WebDialer aktiviert ist; standardmäßig ist er deaktiviert. Als Cisco die Patches ankündigte, verwies das Unternehmen bereits darauf, dass ein Proof of Concept verfügbar sei, erklärte damals aber, keine Hinweise auf eine Ausnutzung unter realen Bedingungen zu haben. Genau solche Hinweise meldet nun Defused: Das Unternehmen beobachtete demnach am Wochenende Angriffsaktivität gegen die Lücke.

Cisco veröffentlichte die Patches für CVE-2026-20230 am 3. Juni. Nach Angaben des Unternehmens erlaubt die kritische Schwachstelle einem nicht authentifizierten Angreifer aus der Ferne, Server-Side-Request-Forgery auszulösen, beliebige Dateien auf dem zugrunde liegenden Betriebssystem abzulegen und seine Berechtigungen auf Root hochzustufen. Die Ausnutzung setzt voraus, dass der WebDialer-Dienst aktiv ist, der standardmäßig deaktiviert ist.

Schon bei der Veröffentlichung der Korrekturen hatte Cisco darauf hingewiesen, dass ein Proof of Concept existiert. Zugleich erklärte der Hersteller damals, ihm seien keine Angriffe bekannt, bei denen die Lücke bereits praktisch ausgenutzt werde. Diese Einschätzung steht nun zumindest teilweise infrage: Defused teilte mit, am Wochenende Belege für eine Ausnutzung gesehen zu haben.

Wörtlich erklärte Defused, die Schwachstelle werde „derzeit von einer einzigen Quelle unter Verwendung eines nicht geprüften Proof of Concept ausgenutzt, wobei korrekt formatierte file://-Nutzlasten zum Schreiben von Dateien auf unseren Ködersystemen ankommen“. Weitere Berichte über Angriffe auf CVE-2026-20230 scheint es bislang nicht zu geben. Auch im Katalog Known Exploited Vulnerabilities der CISA ist die Schwachstelle noch nicht aufgeführt.

Kurz nachdem Defused seine Beobachtungen veröffentlicht hatte, legte SSD Secure Disclosure technische Details und Proof-of-Concept-Code nach. Cisco hatte SSD Secure Disclosure zuvor die Meldung der Schwachstelle zugeschrieben. Die veröffentlichten Informationen zeigen, wie sich der Fehler von einem nicht authentifizierten Angreifer für Remotecodeausführung nutzen lässt.

Cisco selbst hat eine aktive Ausnutzung in seinem Sicherheitshinweis bislang noch nicht bestätigt. SecurityWeek erklärte, das Unternehmen kontaktiert zu haben, um zu klären, ob Cisco Kenntnis von den Angriffen auf CVE-2026-20230 hat.

Unified CM ist Ciscos zentrale lokale Plattform für Anrufsteuerung und Sitzungsmanagement. Das Produkt bildet laut Vorlage die Kerninfrastruktur für Unternehmenskommunikation per Sprache, Video und Unified Communications. Im laufenden Jahr ist CVE-2026-20230 bereits die zweite ausgenutzte Schwachstelle in Cisco Unified CM. Zuvor war bereits CVE-2026-20045 betroffen, die Angreifer als Zero-Day ins Visier genommen hatten.

Besonders häufig standen 2026 laut Vorlage allerdings Ciscos SD-WAN-Produkte im Fokus: Dort wurden bislang acht Schwachstellen in Angriffen ausgenutzt. Defused hatte erst kürzlich zudem von beobachteter Ausnutzung dreier Schwachstellen in Fortinet-Produkten berichtet.

Angriffe auf Schwachstelle in Cisco Unified CM beobachtet

Ähnliche Artikel

Neueste Artikel