Aanvallers zijn begonnen met het actief misbruiken van een kritieke kwetsbaarheid in Cisco Unified Communications Manager. Waar Cisco begin juni nog meldde geen aanwijzingen te hebben voor misbruik, signaleren beveiligingsonderzoekers nu gerichte aanvallen waarbij kwetsbare systemen worden opgespoord. De kwetsbaarheid kan uiteindelijk leiden tot volledige overname van de getroffen servers.
Het gaat om CVE-2026-20230, een beveiligingslek in zowel Cisco Unified Communications Manager (Unified CM) als Unified Communications Manager Session Management Edition (Unified CM SME). Cisco kende de kwetsbaarheid een CVSS-score van 8,6 toe en bracht begin deze maand al beveiligingsupdates uit.
Volgens Cisco ontstaat het probleem doordat bepaalde HTTP-verzoeken onvoldoende worden gevalideerd. Daardoor kan een niet-geauthenticeerde aanvaller een server-side request forgery (SSRF)-aanval uitvoeren. In combinatie met een fout in de verwerking van de WebDialer-component kan dat ertoe leiden dat bestanden op het onderliggende besturingssysteem worden geplaatst, waarna privilege-escalatie en uiteindelijk root-toegang mogelijk zijn.
Aanvallen lijken nog verkennend
Beveiligingsbedrijf Defused Cyber meldt dat het afgelopen weekend actieve exploitatie heeft waargenomen. De aanvallen lijken vooralsnog afkomstig van één IP-adres en hebben vooral een verkennend karakter. In plaats van direct malware te installeren proberen de aanvallers vast te stellen welke systemen kwetsbaar zijn, stelt Computing.
Daarvoor wordt gebruikgemaakt van speciaal geconstrueerde file://-verzoeken die een testbestand met de naam /tmp/cve-2026-20230-test.txt aanmaken. Die werkwijze suggereert dat aanvallers eerst een inventarisatie uitvoeren voordat zij eventueel overgaan tot verdere compromittering.
Onderzoekers waarschuwen echter dat dezelfde kwetsbaarheid zonder veel aanpassingen kan worden ingezet voor het plaatsen van webshells, het uitvoeren van kwaadaardige code en het verkrijgen van volledige beheerdersrechten op de getroffen servers.
WebDialer vormt de zwakke schakel
De kwetsbaarheid werd begin juni gemeld door onderzoekers van SSD Secure. Inmiddels heeft het bedrijf ook een technische analyse gepubliceerd waarin wordt uitgelegd hoe de aanval werkt.
Volgens de onderzoekers verwerkt de WebDialer-component door gebruikers aangeleverde URL’s onvoldoende veilig. Door gebruik te maken van file://-URI’s kan een aanvaller willekeurige bestanden schrijven naar locaties op het besturingssysteem. Omdat zowel de inhoud als de bestemming van die bestanden kan worden beïnvloed, ontstaat uiteindelijk een route naar remote code execution en root-toegang.
Voor een succesvolle aanval moet de aanvaller wel de hostnaam van het doelwit kennen. SSD Secure laat echter zien dat deze informatie vooraf uit het systeem zelf kan worden verkregen. Daardoor is deze drempel in de praktijk beperkt.
Wel geldt een belangrijke beperking: de kwetsbaarheid is alleen uit te buiten wanneer de WebDialer-service actief is. Cisco wijst erop dat deze functie standaard is uitgeschakeld, waardoor niet alle implementaties direct risico lopen.
Patches zijn beschikbaar
Cisco bracht de beveiligingsupdates eerder deze maand uit. De kwetsbaarheid is verholpen in Unified CM 14SU6 en Unified CM SME 15SU5. Organisaties die de updates nog niet kunnen installeren, krijgen het advies de WebDialer-service tijdelijk uit te schakelen totdat de patches zijn toegepast.
Opvallend is dat Cisco zijn beveiligingsadvies op het moment van schrijven nog niet heeft bijgewerkt om aan te geven dat de kwetsbaarheid inmiddels daadwerkelijk wordt misbruikt.