Vulnerabilidade CVE-2026-20230 no Cisco Unified CM está sendo ativamente explorada para implantar webshells
Atacantes estão explorando ativamente uma vulnerabilidade crítica de Server-Side Request Forgery no Cisco Unified Communications Manager (Unified CM), implantando webshells persistentes na infraestrutura de telefonia empresarial mais de três semanas após os patches terem sido disponibilizados. A empresa de inteligência de ameaças Defused confirmou exploração ativa em 23 de junho de 2026, observando "varreduras automatizadas implantando webshells, todas via Tor" em sua rede de honeypots.
A vulnerabilidade, registrada como CVE-2026-20230, foi divulgada pela Cisco em 3 de junho junto com atualizações de segurança. A Cisco inicialmente a classificou como CVSS 8.6 (Alta), mas desde então elevou sua classificação interna de Impacto de Segurança para Crítica após determinar que a falha pode ser encadeada para obter escalonamento de privilégios ao nível root em sistemas afetados.
Como a Cadeia de Ataque Funciona
A vulnerabilidade reside na validação inadequada de requisições HTTP pelo componente WebDialer. Os atacantes exploram o tratamento de URIs file:// pelo componente para escrever arquivos arbitrários no sistema operacional subjacente — arquivos que são então usados para escalar para root.
As cadeias de ataque observadas seguem um padrão de dois estágios. Primeiro, os atacantes abusam do SSRF do WebDialer para implantar um serviço Apache Axis malicioso. Esse serviço é então usado para escrever um gravador de arquivos JSP de primeiro estágio, que insere um shell de execução de comandos de segundo estágio em /platform-services/axis2-web/. A atividade de fase de reconhecimento escreve um arquivo de teste em '/tmp/cve-2026-20230-test.txt' para identificar alvos vulneráveis antes do início da exploração completa.
Escopo e Versões Afetadas
O Cisco Unified Communications Manager é uma das plataformas de gerenciamento de chamadas empresariais mais amplamente implantadas globalmente — usada por hospitais, instituições financeiras, agências governamentais e grandes corporações. A variante Session Management Edition (SME) também é afetada.
A exploração requer que o serviço WebDialer esteja habilitado. Embora o WebDialer esteja desabilitado por padrão, muitas implantações empresariais o habilitam para recursos de click-to-call e integração de diretório, tornando a exposição no mundo real significativa.
O Que Fazer Agora
As organizações devem aplicar as atualizações de segurança de junho de 2026 da Cisco imediatamente. Onde o WebDialer não for operacionalmente necessário, desabilitar o serviço elimina completamente a superfície de ataque. Qualquer implantação que não possa ser corrigida imediatamente deve ser isolada de redes não confiáveis e monitorada para gravações de arquivos em /platform-services/ e /tmp/, conforme relatado pelo BleepingComputer.
Originally reported by BleepingComputer. Read the original article for additional details.
View original source