Компания Cisco предупредила о двух уязвимостях высокого уровня опасности в системе голосовой почты и унифицированных коммуникаций Unity Connection. Первая проблема позволяет аутентифицированному злоумышленнику удаленно выполнить произвольный код с правами суперпользователя, а вторая открывает возможность атак на основе подделки запросов на стороне сервера (Server-Side Request Forgery, SSRF) без какой-либо авторизации. Обе уязвимости уже получили идентификаторы CVE-2026-20034 и CVE-2026-20035, и Cisco выпустила исправления. Однако обходных путей защиты не существует, поэтому администраторам необходимо как можно скорее обновить программное обеспечение.
Детали уязвимостей
Cisco Unity Connection - это решение для обработки голосовых сообщений, которое часто развертывается в корпоративной среде вместе с IP-телефонией. Если злоумышленник получит контроль над таким сервером, он сможет не только прослушивать голосовую почту, но и перемещаться по внутренней сети организации. Именно поэтому обе уязвимости заслуживают пристального внимания.
Первая уязвимость (CVE-2026-20034) связана с веб-интерфейсом управления. Механизм недостаточно проверяет данные, которые вводит пользователь. Атакующий, имеющий учетные данные любого сотрудника (например, простого оператора голосовой почты), может отправить специально сформированный запрос к API. В случае успеха код выполняется с максимальными привилегиями root. Это означает полную компрометацию устройства: злоумышленник получает доступ ко всем файлам, может установить вредоносное ПО, перехватывать трафик и атаковать другие системы внутри периметра. Базовая оценка CVSS для этой уязвимости - 8,8 балла из 10, что подтверждает ее критичность.
Вторая проблема (CVE-2026-20035) еще более опасна с точки зрения доступности: она не требует аутентификации. Уязвимость присутствует в компоненте Web Inbox - веб-клиенте для чтения голосовой почты, который включен по умолчанию. При обработке некоторых HTTP-запросов система не проверяет корректность входящих данных. Неавторизованный удаленный атакующий может отправить на сервер специальный запрос, который заставит Unity Connection самостоятельно обратиться к произвольному внутреннему или внешнему ресурсу. Это классическая техника SSRF. Она позволяет, например, просканировать внутреннюю сеть, обойти межсетевые экраны, получить доступ к сервисам, которые не должны быть видны извне. Оценка CVSS для этой уязвимости - 7,2 балла.
Важно понимать, что уязвимости не зависят друг от друга. Компания Cisco подчеркивает: эксплуатация одной из них не требуется для использования другой. Кроме того, одна и та же версия программного обеспечения может быть уязвима только к одной из проблем. Однако в любом случае обе представляют серьезную угрозу.
Под удар попадают практически все версии Cisco Unity Connection, включая ветки 12.5 и 14, а также актуальную версию 15. Ветки 12.5 и 14 требуют обновления до исправленных сборок. Для версии 15 компания рекомендует либо установить обновление 15SU4, либо применить специальный патч. Список уязвимых версий очень широк, поэтому администраторам следует немедленно проверить свою инсталляцию.
Особенно настораживает то, что обходных путей защиты не предусмотрено. Единственный способ устранить угрозу - установить патчи. При этом вторая уязвимость (SSRF) затрагивает только те системы, где включен Web Inbox. Администраторы могут проверить статус этой функции через меню "Класс обслуживания" в консоли администрирования. Если флажок "Allow Users to Use the Web Inbox" снят, риск SSRF-атаки отсутствует. Однако компания предупреждает: по умолчанию эта возможность активна.
Исследователь Джамель Харрис из Центра кибербезопасности НАТО (NCSC) обнаружил обе уязвимости и сообщил о них разработчику. На данный момент Cisco не фиксирует случаев публичной эксплуатации, но при высоком уровне опасности и доступном коде PoC (proof-of-concept, подтверждение концепции) атаки могут начаться в любой момент.
Ситуация осложняется тем, что Cisco Unity Connection часто работает в связке с другими продуктами вендора, такими как Cisco Unified Communications Manager. Компрометация одного узла может привести к цепной реакции. Поэтому специалистам по информационной безопасности стоит отнестись к предупреждению максимально серьезно.
Что делать прямо сейчас? Прежде всего, проверить версию Unity Connection. Если она входит в список уязвимых, необходимо запланировать обновление до указанных в бюллетене исправленных сборок. Во-вторых, если использование Web Inbox не является критически важным для бизнеса, лучше временно отключить эту функцию. Это снизит поверхность атаки для SSRF-уязвимости. Но помните: первая проблема (удаленное выполнение кода) все равно останется, так как она не зависит от Web Inbox. Поэтому установка патча - единственное надежное решение.
В целом, этот инцидент еще раз напоминает, что даже зрелые продукты от ведущих вендоров содержат ошибки. Особенно опасны уязвимости, сочетающие удаленное выполнение кода и SSRF. Они позволяют атакующему не только захватить контроль над системой, но и использовать ее как плацдарм для проникновения в смежные сегменты сети. Своевременное обновление остается главной линией обороны.
Ссылки
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-unity-rce-ssrf-hENhuASy
- https://www.cve.org/CVERecord?id=CVE-2026-20035
- https://www.cve.org/CVERecord?id=CVE-2026-20034
