Une nouvelle activité cible CVE‑2026‑20230, un bug SSRF qui peut permettre des écritures de fichiers non authentifiées et un accès potentiel au niveau racine sur les systèmes vulnérables.
Une vulnérabilité critique de Cisco Unified CM est désormais activement exploitée, des semaines après que la société a publié des correctifs avertissant qu’elle pourrait permettre aux attaquants d’obtenir un accès root.
La société de renseignement sur les menaces Defused a signalé l’exploitation le 23 juin. La société a déclaré avoir observé l’activité au cours du week-end.
« Ceci est actuellement exploité à partir d’une source unique en utilisant un PoC non vérifié, avec des charges utiles d’écriture de fichier véritablement formatées en fichier:// atterrissant sur nos leurres », a déclaré Defused sur X.
La faille est identifiée comme CVE-2026-20230 et porte un score de base CVSS de 8,6. Cisco a publié l’avis et les correctifs le 3 juin, déclarant qu’il n’était au courant d’aucune utilisation malveillante de la vulnérabilité au moment de la divulgation.
« Cette vulnérabilité est due à une validation incorrecte des entrées pour des requêtes HTTP spécifiques », a déclaré Cisco dans l’avis. « Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête HTTP contrefaite à un appareil affecté. »
La faille pourrait permettre à un attaquant distant non authentifié de « mener des attaques de falsification de requête côté serveur (SSRF) via un appareil affecté », indique l’avis. Un exploit réussi pourrait permettre à l’attaquant d’écrire des fichiers sur le système d’exploitation sous-jacent et d’élever les privilèges au niveau root, ajoute-t-il.
Aucun antécédent d’exploitation
Defused a déclaré que l’activité du week-end était la première exploitation de la faille qu’elle avait enregistrée. « Aucune exploitation enregistrée auparavant, et pas encore répertoriée dans CISA KEV », écrit-il dans le post X.
Quelques semaines avant que Defused ne signale les attaques, Cisco avait reconnu dans son avis que le code d’exploitation de validation de principe de la faille était déjà disponible. L’équipe Cisco Product Security Incident Response Team (PSIRT) n’était au courant d’aucune utilisation malveillante de la vulnérabilité lorsque l’avis a été publié, a indiqué la société.
Cisco n’a pas immédiatement répondu à une demande de commentaire.
Le service WebDialer doit être activé
La faille affecte les produits Cisco Unified CM et Unified CM SME largement utilisés par les entreprises pour gérer les services de voix, vidéo, messagerie, mobilité et conférence dans les environnements d’entreprise.
La société a déclaré que la faille peut être exploitée à distance si le système ciblé exécute une version logicielle vulnérable et que le service WebDialer est activé.
« WebDialer est désactivé par défaut », a noté Cisco dans l’avis.
Cisco a déclaré n’avoir trouvé aucune solution de contournement permettant de résoudre complètement la vulnérabilité.
« Il n’existe aucune solution de contournement pour remédier à cette vulnérabilité », a déclaré la société dans son avis. « Cependant, à titre d’atténuation, les administrateurs peuvent désactiver le service WebDialer jusqu’à ce qu’un correctif puisse être appliqué. »
Un chercheur détaille la chaîne d’écriture de fichiers
La faille a été signalée à Cisco par un chercheur en sécurité indépendant travaillant avec SSD Secure Disclosure, a indiqué Cisco.
Alors que l’avis de Cisco décrit le problème comme une vulnérabilité SSRF, l’analyse de SSD indique que plusieurs faiblesses peuvent être combinées pour parvenir à une compromission plus large d’un système affecté.
« Le produit CUCM est confronté à quelques vulnérabilités qui, lorsqu’elles sont regroupées, permettent à un attaquant distant d’écrire des fichiers arbitraires sur le serveur, ce qui permet à un attaquant non authentifié d’exécuter du code », a écrit SSD Secure dans un article technique.
SSD a déclaré que la chaîne d’attaque commence par une vulnérabilité SSRF et peut être exploitée pour écrire des fichiers arbitraires sur le serveur. Selon l’invention, ces capacités d’écriture de fichiers peuvent ensuite être utilisées pour exécuter du code sur le système concerné.
Correctifs et atténuation
Cisco a déclaré qu’il n’existait aucune solution de contournement pour remédier à la vulnérabilité et a conseillé aux clients de passer à des versions logicielles corrigées.
La société a déclaré que le correctif pour la série de versions Cisco Unified CM et Unified CM SME 14 est 14SU6, et pour la série 15, le correctif est dans 15SU5, attendu en septembre 2026, ou dans un correctif COP provisoire.
Ni Cisco ni Defused n’ont publiquement attribué les attaques à un acteur menaçant spécifique, publié des indicateurs de compromission ou révélé si des organisations avaient été compromises avec succès grâce à l’exploitation de la faille.
