AIO APEX
Security

Vulnerabilidad CVE-2026-20230 en Cisco Unified CM explotada activamente para desplegar webshells

BleepingComputer
Compartir:
Vulnerabilidad CVE-2026-20230 en Cisco Unified CM explotada activamente para desplegar webshells

Atacantes están explotando activamente una vulnerabilidad crítica de Server-Side Request Forgery en Cisco Unified Communications Manager (Unified CM), desplegando webshells persistentes en infraestructura telefónica empresarial más de tres semanas después de que los parches estuvieran disponibles. La firma de inteligencia de amenazas Defused confirmó la explotación activa el 23 de junio de 2026, observando "barridos automatizados que dejan webshells, todo a través de Tor" en su red de honeypots.

La vulnerabilidad, registrada como CVE-2026-20230, fue revelada por Cisco el 3 de junio junto con actualizaciones de seguridad. Cisco inicialmente la calificó como CVSS 8.6 (High), pero desde entonces ha elevado su Security Impact Rating interna a Critical tras determinar que el fallo puede encadenarse para lograr escalada de privilegios a nivel root en los sistemas afectados.

Cómo funciona la cadena de ataque

La vulnerabilidad reside en la validación incorrecta de solicitudes HTTP del componente WebDialer. Los atacantes explotan el manejo que hace el componente de las URIs file:// para escribir archivos arbitrarios en el sistema operativo subyacente — archivos que luego se usan para escalar a root.

Las cadenas de ataque observadas siguen un patrón de dos etapas. Primero, los atacantes abusan del SSRF de WebDialer para desplegar un servicio Apache Axis malicioso. Ese servicio se usa luego para escribir un file-writer JSP de primera etapa, que suelta un shell de ejecución de comandos de segunda etapa en /platform-services/axis2-web/. La actividad de fase de reconocimiento escribe un archivo de prueba en '/tmp/cve-2026-20230-test.txt' para identificar objetivos vulnerables antes de que comience la explotación completa.

Alcance y versiones afectadas

Cisco Unified Communications Manager es una de las plataformas de gestión de llamadas empresariales más implementadas a nivel mundial, utilizada por hospitales, instituciones financieras, agencias gubernamentales y grandes corporaciones. La variante Session Management Edition (SME) también está afectada.

La explotación requiere que el servicio WebDialer esté habilitado. Si bien WebDialer está deshabilitado por defecto, muchas implementaciones empresariales lo habilitan para funciones de click-to-call e integración de directorio, lo que hace que la exposición en el mundo real sea significativa.

Qué hacer ahora

Las organizaciones deben aplicar las actualizaciones de seguridad de Cisco de junio de 2026 de inmediato. Cuando WebDialer no sea operativamente necesario, deshabilitar el servicio elimina por completo la superficie de ataque. Cualquier implementación que no pueda parcharse de inmediato debe aislarse de redes no confiables y monitorearse en busca de escrituras de archivos en /platform-services/ y /tmp/, según informó BleepingComputer.

vulnerabilityenterprise-securityciscocve-2026-20230ssrfwebshell

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Compartir: