Агентство кибербезопасности и безопасности инфраструктуры США (CISA) пополнило свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV) новой критической записью. Речь идет об уязвимости CVE-2026-20045, затрагивающей целый ряд продуктов для унифицированных коммуникаций (Unified Communications, UC) компании Cisco. Добавление в каталог KEV означает, что CISA располагает доказательствами активных атак в дикой среде, что делает обновление систем первостепенной задачей для администраторов по всему миру.
Детали уязвимости
Уязвимость представляет собой внедрение кода (code injection) из-за недостаточной проверки пользовательского ввода в HTTP-запросах. Это позволяет неаутентифицированному удаленному злоумышленнику выполнить произвольные команды на базовой операционной системе уязвимого устройства. Эксплуатация осуществляется путем отправки специально сформированной последовательности HTTP-запросов к веб-интерфейсу управления устройства.
Успешная атака, согласно описанию Cisco, дает злоумышленнику доступ к операционной системе на уровне пользователя с последующей возможностью повышения привилегий до root (суперпользователя). Именно этот сценарий заставил Cisco присвоить уязвимости статус «Критической» (Critical), несмотря на оценку по шкале CVSS v3.1 в 8.2 балла, что соответствует высокому уровню опасности (HIGH). Вектор атаки - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N - указывает на то, что для эксплуатации не требуется ни аутентификация, ни взаимодействие с пользователем, а сама атака возможна из сети.
Под угрозой находятся несколько ключевых продуктов экосистемы Cisco для связи:
- Cisco Unified Communications Manager (Unified CM)
- Cisco Unified Communications Manager Session Management Edition (Unified CM SME)
- Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P)
- Cisco Unity Connection
- Webex Calling Dedicated Instance
Затронуты многочисленные версии программного обеспечения, начиная с ветки 12.5(1) и включая основные выпуски 14 и 15 с их сервисными обновлениями. Такой широкий охват повышает потенциальное количество атакуемых систем. Уязвимость классифицирована по каталогу CWE (Common Weakness Enumeration) как CWE-94: Improper Control of Generation of Code, то есть некорректный контроль генерации кода.
Добавление CVE-2026-20045 в каталог KEV - это формальный призыв CISA к федеральным ведомствам США в срочном порядке применить патчи. Однако это также служит четким сигналом для всех организаций, использующих данные продукты Cisco. Активная эксплуатация в сочетании с критическим уровнем угрозы создает высокие риски. Злоумышленники могут получить полный контроль над системой коммуникаций, что открывает путь к краже конфиденциальных данных, прослушиванию или блокировке связи, а также к движению по корпоративной сети для дальнейших атак.
Cisco уже выпустила исправления для всех уязвимых продуктов. Компания настоятельно рекомендует пользователям обновить свое программное обеспечение до актуальных версий. В случаях, когда немедленное обновление невозможно, следует рассмотреть дополнительные меры контроля доступа к интерфейсам управления, ограничив их только доверенными сетями. Мониторинг сетевого трафика на предмет подозрительных HTTP-запросов к административным компонентам также может помочь в обнаружении попыток атаки.
Появление этой уязвимости в каталоге KEV подчеркивает сохраняющуюся привлекательность корпоративных систем связи для киберпреступников и APT-групп (Advanced Persistent Threat, устойчивая угроза). Эти системы часто содержат ценную информацию и являются критически важными для бизнес-процессов. Своевременное обновление инфраструктуры связи остается одним из наиболее эффективных способов защиты от подобных угроз.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20045
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voice-rce-mORhqY4b
