AIO APEX
Security

Vulnérabilité CVE-2026-20230 de Cisco Unified CM activement exploitée pour déposer des webshells

BleepingComputer
Partager:
Vulnérabilité CVE-2026-20230 de Cisco Unified CM activement exploitée pour déposer des webshells

Des attaquants exploitent activement une vulnérabilité critique de type Server-Side Request Forgery dans Cisco Unified Communications Manager (Unified CM), déployant des webshells persistants sur l’infrastructure téléphonique d’entreprises, plus de trois semaines après la disponibilité des correctifs. La société de renseignement sur les menaces Defused a confirmé l’exploitation active le 23 juin 2026, observant « des balayages automatisés déposant des webshells, le tout via Tor » sur son réseau de honeypots.

La vulnérabilité, référencée CVE-2026-20230, a été divulguée par Cisco le 3 juin en même temps que les mises à jour de sécurité. Cisco lui a d’abord attribué un score CVSS de 8,6 (élevé), mais a depuis rehaussé son Security Impact Rating interne à Critique, après avoir déterminé que la faille peut être enchaînée pour obtenir une élévation de privilèges au niveau root sur les systèmes affectés.

Comment fonctionne la chaîne d’attaque

La vulnérabilité réside dans une validation incorrecte des requêtes HTTP par le composant WebDialer. Les attaquants exploitent la gestion des URIs file:// par ce composant pour écrire des fichiers arbitraires sur le système d’exploitation sous-jacent — fichiers qui sont ensuite utilisés pour escalader jusqu’à root.

Les chaînes d’attaque observées suivent un modèle en deux étapes. D’abord, les assaillants abusent du SSRF de WebDialer pour déployer un service Apache Axis malveillant. Ce service est ensuite utilisé pour écrire un premier script JSP de type file-writer, qui dépose un second shell d’exécution de commandes sous /platform-services/axis2-web/. Une activité de phase de reconnaissance écrit un fichier test à /tmp/cve-2026-20230-test.txt afin d’identifier les cibles vulnérables avant l’exploitation complète.

Périmètre et versions concernées

Cisco Unified Communications Manager est l’une des plateformes de gestion d’appels d’entreprise les plus déployées au monde — utilisée par les hôpitaux, les institutions financières, les agences gouvernementales et les grandes entreprises. L’édition Session Management (SME) est également affectée.

L’exploitation nécessite que le service WebDialer soit activé. Bien que WebDialer soit désactivé par défaut, de nombreux déploiements en entreprise l’activent pour les fonctions de click-to-call et d’intégration d’annuaire, ce qui rend l’exposition réelle significative.

Que faire maintenant

Les organisations doivent appliquer immédiatement les mises à jour de sécurité de Cisco de juin 2026. Là où WebDialer n’est pas nécessaire sur le plan opérationnel, désactiver le service élimine complètement la surface d’attaque. Tout déploiement ne pouvant pas être patché immédiatement doit être isolé des réseaux non fiables et surveillé pour toute écriture de fichier dans /platform-services/ et /tmp/, comme le rapporte BleepingComputer.

vulnerabilityenterprise-securityciscocve-2026-20230ssrfwebshell

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Partager: