Агентство по кибербезопасности и защите инфраструктуры США (CISA) включило критическую уязвимость в Cisco Unified Communications Manager (Unified CM) и Unified CM Session Management Edition (SME) в свой каталог известных эксплуатируемых уязвимостей (KEV). Проблема, зарегистрированная под идентификатором CVE-2026-20230, представляет собой ошибку типа server-side request forgery (SSRF) - подделку серверных запросов. Эта уязвимость позволяет неаутентифицированному удалённому злоумышленнику манипулировать запросами, отправляемыми с сервера, и записывать произвольные файлы в операционную систему. В результате повышается риск дальнейших атак, включая эскалацию привилегий до уровня root.
Уязвимость CVE-2026-20230
CISA подтвердила, что эксплуатация CVE-2026-20230 уже наблюдается в реальных условиях, хотя официальных данных о связях с кампаниями программ-вымогателей пока нет. Причина уязвимости - некорректная проверка данных, вводимых пользователем, что соответствует классификации CWE-918 (Server-Side Request Forgery). Используя эту слабость, атакующий может заставить систему инициировать несанкционированные запросы к внутренним службам или ресурсам, недоступным извне. Критичность проблемы усиливается тем, что через SSRF злоумышленник способен записать вредоносные файлы на устройство, а затем использовать их для закрепления в системе или повышения прав.
Cisco Unified CM - платформа для управления голосовой связью, видео, мессенджерами и мобильными сервисами, широко применяемая в корпоративных и государственных сетях. Это делает её привлекательной целью для злоумышленников, стремящихся к боковому перемещению внутри инфраструктуры. Сочетание отсутствия аутентификации при эксплуатации и возможности записи файлов выводит CVE-2026-20230 в категорию критических угроз, особенно для систем, доступных из интернета, или в сетях с недостаточной сегментацией.
Специалисты по безопасности отмечают, что SSRF-уязвимости в коммуникационных платформах всё чаще используются как начальный вектор атаки. Затем злоумышленники комбинируют их с техниками повышения привилегий для полного захвата системы. Включение CVE-2026-20230 в каталог KEV означает, что CISA считает эту проблему высокой приоритетной.
CISA советует в первую очередь установить обновления, выпущенные Cisco. Если установка исправлений невозможна, агентство рекомендует временно ограничить сетевой доступ к уязвимым системам или полностью вывести их из эксплуатации до настройки безопасной конфигурации. Дополнительно следует провести инвентаризацию активов, чтобы выявить все экземпляры Unified CM в сети, включая те, которые могут быть не задокументированы. Для обнаружения возможного вторжения CISA предлагает руководствоваться собственными требованиями к триажу криминалистических данных - в частности, анализировать системные журналы на предмет необычных исходящих запросов, подозрительных событий создания файлов и признаков неавторизованного доступа.
Командам безопасности стоит пересмотреть политики сетевой сегментации, чтобы уменьшить радиус поражения в случае эксплуатации уязвимости. Также имеет смысл внедрить правила межсетевых экранов уровня приложений (WAF) или ужесточить контроль доступа к службам управления коммуникациями. Быстрое включение CVE-2026-20230 в каталог KEV подчёркивает срочность установки заплаток и упреждающей защиты. Поскольку злоумышленники продолжают использовать уязвимости в коммуникационной инфраструктуре, организациям необходимо уделять первостепенное внимание мониторингу, своевременному устранению недостатков и многослойным мерам безопасности, чтобы снизить риск от активных атак на критически важные корпоративные системы.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20230
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
