AIO APEX
Security

Cisco Unified CM Schwachstelle CVE-2026-20230 aktiv ausgenutzt, um Webshells zu platzieren

BleepingComputer
Teilen:
Cisco Unified CM Schwachstelle CVE-2026-20230 aktiv ausgenutzt, um Webshells zu platzieren

Angreifer nutzen derzeit aktiv eine kritische Server-Side-Request-Forgery-Sicherheitslücke in Cisco Unified Communications Manager (Unified CM) aus – sie platzieren persistente Webshells in der Telefonie-Infrastruktur von Unternehmen, obwohl Patches bereits vor mehr als drei Wochen verfügbar waren. Der Threat-Intelligence-Dienst Defused bestätigte die aktive Ausnutzung am 23. Juni 2026 und beobachtete in seinem Honeypot-Netzwerk „automatisierte Scans, die Webshells ablegen – alles über Tor“.

Die Schwachstelle, die als CVE-2026-20230 geführt wird, wurde von Cisco am 3. Juni zusammen mit Sicherheitsupdates veröffentlicht. Cisco bewertete sie zunächst mit CVSS 8.6 (High), hat aber die interne Sicherheitsbewertung inzwischen auf Critical hochgestuft, nachdem festgestellt wurde, dass der Fehler mit weiteren Angriffen zu einer Root-Level-Privilegieneskalation auf betroffenen Systemen führen kann.

Wie die Angriffskette funktioniert

Die Sicherheitslücke liegt in der unzureichenden Validierung von HTTP-Anfragen in der WebDialer-Komponente. Angreifer nutzen die Verarbeitung von file://-URIs in dieser Komponente aus, um beliebige Dateien auf dem zugrunde liegenden Betriebssystem zu schreiben – Dateien, die dann zur Eskalation auf Root verwendet werden.

Beobachtete Angriffsketten folgen einem zweistufigen Muster. Zuerst missbrauchen Angreifer den WebDialer-SSRF, um einen schädlichen Apache-Axis-Service zu installieren. Dieser Service wird dann genutzt, um einen JSP-File-Writer der ersten Stufe zu schreiben, der wiederum eine Command-Execution-Shell der zweiten Stufe unter /platform-services/axis2-web/ ablegt. In der Reconnaissance-Phase wird eine Testdatei unter /tmp/cve-2026-20230-test.txt geschrieben, um verwundbare Ziele zu identifizieren, bevor die vollständige Ausnutzung beginnt.

Betroffene Versionen und Umfang

Cisco Unified Communications Manager ist eine der am weitesten verbreiteten Enterprise-Call-Management-Plattformen weltweit – eingesetzt in Krankenhäusern, Finanzinstituten, Regierungsbehörden und großen Konzernen. Auch die Variante Session Management Edition (SME) ist betroffen.

Für die Ausnutzung muss der WebDialer-Dienst aktiviert sein. WebDialer ist standardmäßig deaktiviert, aber viele Unternehmen aktivieren ihn für Click-to-Call- und Directory-Integration-Funktionen, was die reale Angriffsfläche erheblich vergrößert.

Was jetzt zu tun ist

Organisationen sollten die Cisco-Sicherheitsupdates vom Juni 2026 umgehend einspielen. Wenn WebDialer betrieblich nicht benötigt wird, deaktiviert man den Dienst am besten – das eliminiert die Angriffsfläche vollständig. Jede Installation, die nicht sofort gepatcht werden kann, sollte von nicht vertrauenswürdigen Netzwerken isoliert und auf Dateischreibvorgänge nach /platform-services/ und /tmp/ überwacht werden, wie BleepingComputer berichtet.

vulnerabilityenterprise-securityciscocve-2026-20230ssrfwebshell

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Teilen: