AIO APEX
Security

ثغرة Cisco Unified CM CVE-2026-20230 تُستغل بنشاط لزرع Webshells

BleepingComputer
مشاركة:
ثغرة Cisco Unified CM CVE-2026-20230 تُستغل بنشاط لزرع Webshells

يستغل المهاجمون بنشاط ثغرة أمنية خطيرة من نوع Server-Side Request Forgery في نظام Cisco Unified Communications Manager (Unified CM)، إذ ينشرون ويب شيلات دائمة على البنية التحتية للاتصالات الهاتفية المؤسسية بعد أكثر من ثلاثة أسابيع من إصدار التصحيحات. أكدت شركة Defused المتخصصة في استخبارات التهديدات الاستغلال النشط للثغرة في 23 يونيو 2026، حيث رصدت "عمليات مسح آلية تقوم بإسقاط ويب شيلات، جميعها عبر شبكة Tor" عبر شبكة honeypot الخاصة بها.

الثغرة، التي تحمل الرمز CVE-2026-20230، كشفت عنها شركة Cisco في 3 يونيو بالتزامن مع تحديثات أمنية. وقد منحتها Cisco في البداية درجة 8.6 (عالية) على مقياس CVSS، لكنها رفعت تقييمها الداخلي للأثر الأمني إلى مستوى "حرج" بعد أن تبين أن الثغرة يمكن ربطها بثغرات أخرى لتحقيق رفع امتيازات إلى مستوى الجذر (root) على الأنظمة المتضررة.

كيف تعمل سلسلة الهجوم

تكمن الثغرة في مكوّن WebDialer الذي لا يتحقق بشكل صحيح من طلبات HTTP. يستغل المهاجمون طريقة معالجة المكوّن لملفات URI من نوع file:// لكتابة ملفات عشوائية في نظام التشغيل الأساسي — ملفات تُستخدم لاحقاً لرفع الامتيازات إلى root.

تتبع سلاسل الهجوم المرصودة نمطاً من مرحلتين. أولاً، يسيء المهاجمون استغلال ثغرة SSRF في WebDialer لنشر خدمة Apache Axis غير مصرح بها. ثم تُستخدم تلك الخدمة لكتابة أداة كتابة ملفات من المرحلة الأولى بلغة JSP، والتي تقوم بإسقاط شل لتنفيذ الأوامر من المرحلة الثانية داخل /platform-services/axis2-web/. قبل بدء الهجوم الكامل، ينفذ المهاجمون أنشطة استطلاعية بكتابة ملف اختبار في /tmp/cve-2026-20230-test.txt لتحديد الأهداف الضعيفة.

النطاق والإصدارات المتأثرة

يعتبر Cisco Unified Communications Manager أحد أكثر منصات إدارة المكالمات المؤسسية انتشاراً عالمياً — وتستخدمه المستشفيات والمؤسسات المالية والوكالات الحكومية والشركات الكبرى. كما أن إصدار Session Management Edition (SME) متأثر أيضاً.

يتطلب الاستغلال تمكين خدمة WebDialer. ورغم أن WebDialer معطل افتراضياً، إلا أن العديد من البيئات المؤسسية تقوم بتمكينه لميزات الاتصال بنقرة واحدة (click-to-call) وتكامل الدليل الهاتفي، مما يجعل التعرض الفعلي كبيراً.

ما يجب فعله الآن

يجب على المؤسسات تطبيق التحديثات الأمنية الصادرة من Cisco في يونيو 2026 فوراً. في حال لم تكن خدمة WebDialer ضرورية من الناحية التشغيلية، فإن تعطيلها يزيل سطح الهجوم بالكامل. أي بيئة لا يمكن تصحيحها فوراً يجب عزلها عن الشبكات غير الموثوقة ومراقبتها بحثاً عن أي عمليات كتابة ملفات في /platform-services/ و /tmp/، وفقاً لما ذكرته BleepingComputer.

vulnerabilityenterprise-securityciscocve-2026-20230ssrfwebshell

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
مشاركة: