Корпоративная телефония - основа коммуникаций в сотнях тысяч организаций по всему миру. Серверы Cisco Unified Communications Manager (Unified CM) обрабатывают миллионы звонков ежедневно, и любая брешь в их защите грозит катастрофическими последствиями. 3 июня 2026 года компания Cisco опубликовала предупреждение о критической уязвимости, которая позволяет злоумышленнику без какой-либо аутентификации получить полный контроль над системой. Речь идет об идентификаторе CVE-2026-20230 с базовой оценкой CVSS 8,6.
Уязвимость CVE-2026-20230
Проблема кроется в механизме обработки HTTP-запросов. В продукте недостаточно строго проверяются входящие данные, что открывает дорогу для атаки типа SSRF (подделка запросов на стороне сервера). Простыми словами, атакующий может заставить сервер самостоятельно обратиться к произвольным внутренним или внешним ресурсам. Однако на этом возможности эксплойта не заканчиваются. Cisco подтверждает, что успешная эксплуатация позволяет записать произвольные файлы в операционную систему устройства. А затем, используя эти файлы, злоумышленник может повысить свои привилегии до root.
Важное уточнение: уязвимость затрагивает только те инсталляции, где включена служба WebDialer. По умолчанию этот компонент отключен, поэтому многие системы могут не быть под угрозой. Тем не менее в крупных компаниях WebDialer часто активируют для интеграции с веб-интерфейсами и приложениями для телефонного набора. Администраторам стоит немедленно проверить состояние сервиса: зайти в интерфейс Unified CM Administration, выбрать Cisco Unified Serviceability, затем Control Center - Feature Services и посмотреть, запущен ли Cisco WebDialer Web Service.
Cisco PSIRT (группа реагирования на инциденты информационной безопасности) сообщает, что в открытом доступе уже появился код эксплойта, подтверждающий концепцию атаки (PoC). Однако на момент публикации предупреждения не было зафиксировано случаев реального вредоносного использования. Но учитывая доступность PoC, массовые атаки - лишь вопрос времени. Организациям нужно действовать на опережение.
Уязвимость подтверждена для следующих версий: Cisco Unified CM и Unified CM SME (Session Management Edition) версии 14 и 15 (с включенным WebDialer). Cisco уже выпустила исправления. Для ветки 14 необходимо обновление до версии 14SU6. Для ветки 15 первое исправление появится в версии 15SU5, выход которой запланирован на сентябрь 2026 года. Кроме того, для 15-й версии возможно применение патча COP1 - это временное решение, детали которого описаны в документации к патчу.
Официальных обходных путей (workarounds) для полного устранения уязвимости не существует. Единственная временная мера - отключить службу WebDialer до установки патча. Cisco предупреждает, что это может повлиять на функциональность, если в компании активно используются веб-сервисы для телефонии. Но риск компрометации системы перевешивает временные неудобства. Процедура отключения проста: в том же интерфейсе Cisco Unified Serviceability нужно перейти в раздел Service Activation и снять флажок с Cisco WebDialer Web Service.
SSRF сам по себе опасен: он позволяет злоумышленнику обходить межсетевые экраны, сканировать внутреннюю сеть и взаимодействовать с закрытыми сервисами. Но в данном случае атакующий может не просто читать данные, а записывать файлы. Это открывает путь к полной компрометации сервера. Получив root, злоумышленник способен установить постоянное присутствие, перехватывать звонки, похищать записи разговоров, прослушивать текущие коммуникации или использовать сервер как плацдарм для атак на другие критически важные системы внутри сети.
Для специалистов по информационной безопасности ситуация ясна: необходимо срочно идентифицировать все серверы Unified CM в своей инфраструктуре, проверить состояние WebDialer и, если служба включена, либо применить обновление, либо временно ее отключить. Особенно это касается организаций, где решения Cisco используются для управления корпоративной телефонией в государственном секторе, банках, телекоммуникационных компаниях и промышленных предприятиях. Задержка с реагированием может стоить утечки конфиденциальных данных или остановки бизнес-процессов.
Исследователь, обнаруживший уязвимость, работает в рамках программы SSD Secure Disclosure. Cisco поблагодарила его за ответственное раскрытие информации. Но сейчас главная задача - предотвратить атаки. Администраторам рекомендуется как можно скорее спланировать обновление до фиксированных версий, а до этого момента принять меры по смягчению рисков, включая отключение уязвимого сервиса и усиление мониторинга аномальной активности на серверах Unified CM.
Ссылки
