Cisco Unified CM高危漏洞遭攻击者积极利用

一个Cisco Unified CM严重安全漏洞在补丁发布数周后，目前已遭到攻击者的积极利用。此前，Cisco已就该漏洞可能允许攻击者获取root权限发出警告并发布了补丁。

威胁情报公司Defused于6月23日报告了相关利用活动，称其在当周末观察到了攻击行为。

"目前有人正在利用一个来自单一来源、未经验证的PoC（概念验证）代码对漏洞发起攻击，格式规范的file://文件写入载荷已被记录到我们的蜜罐中。"Defused在X平台上表示。

该漏洞编号为CVE-2026-20230，CVSS基础评分为8.6。Cisco于6月3日发布了安全公告和补丁，并在公告中表示，截至披露时尚未发现该漏洞被恶意利用的情况。

"该漏洞源于对特定HTTP请求的输入验证不当。"Cisco在公告中指出，"攻击者可通过向受影响设备发送精心构造的HTTP请求来利用此漏洞。"

该漏洞可能允许未经身份验证的远程攻击者"通过受影响设备发动服务器端请求伪造（SSRF）攻击"。公告还指出，一旦攻击成功，攻击者可以向底层操作系统写入文件，并将权限提升至root级别。

Defused表示，此次周末的攻击活动是其记录到的针对该漏洞的首次利用行为。"此前无任何已记录的利用活动，且该漏洞尚未被列入CISA KEV（已知被利用漏洞目录）。"该公司在X帖子中写道。

早在Defused报告攻击活动的数周前，Cisco便已在公告中承认，该漏洞的概念验证利用代码已公开流传。Cisco产品安全事件响应团队（PSIRT）表示，在公告发布时尚未发现任何恶意利用行为。

Cisco未立即回应置评请求。

该漏洞影响Cisco Unified CM及Unified CM SME产品。这两款产品被企业广泛用于管理企业环境中的语音、视频、即时消息、移动办公及会议服务。

Cisco表示，如果目标系统运行的是存在漏洞的软件版本，且启用了WebDialer服务，则该漏洞可被远程利用。

"WebDialer默认处于禁用状态。"Cisco在公告中特别说明。

Cisco表示，目前尚未找到能够完全修复该漏洞的变通方案。

"目前没有任何变通方案可以解决此漏洞。"公司在公告中表示，"但作为缓解措施，管理员可在应用补丁之前禁用WebDialer服务。"

该漏洞由一名与SSD Secure Disclosure合作的独立安全研究人员向Cisco报告。

尽管Cisco的公告将该问题定性为SSRF漏洞，但SSD的分析显示，多个安全弱点可被组合利用，从而实现对受影响系统更大范围的入侵。

"Cisco CUCM产品存在多个漏洞，这些漏洞组合在一起，可让远程攻击者在服务器上写入任意文件，进而使未经身份验证的攻击者能够执行代码。"SSD Secure在技术分析报告中写道。

SSD表示，攻击链从一个SSRF漏洞开始，并可被进一步利用以向服务器写入任意文件。根据该披露，这种文件写入能力随后可被用于在受影响系统上执行代码。

Cisco表示，该漏洞无变通修复方案，建议用户升级至已修复的软件版本。Cisco Unified CM及Unified CM SME 14版本系列的修复版本为14SU6，15版本系列的修复版本将在2026年9月发布的15SU5中提供，或通过临时COP补丁获取。

目前，Cisco和Defused均未公开将攻击活动归因于特定威胁行为者，也未发布入侵指标，亦未披露是否有任何组织已通过利用该漏洞遭到成功入侵。

Q&A

Q1：CVE-2026-20230漏洞具体会造成什么危害？

A：该漏洞CVSS评分高达8.6，属于严重级别。未经身份验证的远程攻击者可利用此漏洞发动服务器端请求伪造（SSRF）攻击，进而向底层操作系统写入任意文件，并将权限提升至root级别，最终实现在受影响系统上执行任意代码，完全控制目标设备。

Q2：哪些产品受CVE-2026-20230影响，如何判断自己是否受影响？

A：受影响产品包括Cisco Unified CM和Unified CM SME，这两款产品被企业广泛用于管理语音、视频、即时消息、移动办公及会议服务。如果系统运行的是存在漏洞的软件版本，且启用了WebDialer服务，则存在被远程利用的风险。由于WebDialer默认处于禁用状态，管理员可先检查该服务是否被开启。

Q3：目前针对CVE-2026-20230漏洞有哪些防护措施？

A：Cisco明确表示没有可以完全解决该漏洞的变通方案。官方建议用户尽快升级至修复版本：14版本系列升级至14SU6，15版本系列升级至2026年9月发布的15SU5或使用临时COP补丁。在完成补丁升级前，可通过禁用WebDialer服务作为临时缓解措施。