A Cisco confirmou que invasores já estão explorando uma vulnerabilidade no Unified Communications Manager (Unified CM), corrigida no início de junho.
O Unified CM, antigo Cisco CallManager, é o sistema central de controle das soluções de telefonia IP da Cisco.
Ele faz o roteamento de chamadas, o gerenciamento de dispositivos e a administração de recursos de telefonia.
A falha, identificada como
CVE-2026-20230
, pode ser explorada remotamente por threat actors sem privilégios em ataques de server-side request forgery (SSRF), de baixa complexidade, por meio do envio de uma requisição HTTP especialmente criada.
Em 3 de junho, quando lançou as atualizações de segurança para corrigir o problema, a Cisco informou que sua equipe de resposta a incidentes de segurança de produtos, a PSIRT, já tinha conhecimento de código de exploit de prova de conceito disponível publicamente para a
CVE-2026-20230
, mas ainda não havia evidências de exploração ativa.
Cerca de três semanas depois, em 22 de junho, a empresa de inteligência de ameaças Defused revelou que invasores haviam começado a explorar a falha usando payloads file:// montados corretamente para criar arquivos em dispositivos alvo.
Um dia depois, a SSD Secure também publicou uma análise técnica com um exploit de prova de conceito e explicou o funcionamento da vulnerabilidade.
Na época, a Cisco não respondeu aos questionamentos sobre se a empresa também já estava observando a exploração ativa da falha e se poderia compartilhar indicadores de comprometimento.
Nesta quarta-feira, a empresa finalmente confirmou que a
CVE-2026-20230
está sendo explorada e pediu que clientes protejam seus sistemas contra a exploração em andamento.
“A Cisco PSIRT tem conhecimento de que há código de exploit de prova de conceito disponível para a vulnerabilidade descrita neste aviso”, informou a empresa em uma atualização do comunicado original.
“Em junho de 2026, a Cisco PSIRT tomou conhecimento da exploração ativa desta vulnerabilidade.
A Cisco continua recomendando fortemente que os clientes atualizem para uma versão de software corrigida para remediar esta vulnerabilidade.”
A Cisco também divulgou medidas de mitigação para administradores e equipes de segurança que não conseguem instalar imediatamente as versões 14SU6 ou 15SU5 do Cisco Unified CM, ou os pacotes Sep 2026 ou COP.
A orientação é desativar o serviço WebDialer, que é vulnerável, até que um patch seja aplicado, bloqueando assim ataques de entrada baseados na
CVE-2026-20230
.
O serviço de monitoramento de segurança na internet Shadowserver está rastreando atualmente mais de 200 instâncias do Cisco Unified CM expostas online, a maioria na Ásia e na América do Norte.
Ainda não há detalhes sobre quantas já foram protegidas contra os ataques em curso.
Nos últimos anos, a Cisco também corrigiu duas falhas no Unified CM, a CVE-2024-20253 e a
CVE-2025-20309
, que permitiam a threat actors obter privilégios de root, além de outra falha, a
CVE-2026-20045
, que vinha sendo explorada ativamente como zero-day para obter execução remota de código.
Desde novembro de 2021, a U.S.
Cybersecurity and Infrastructure Security Agency (CISA) já classificou 93 vulnerabilidades da Cisco como ativamente exploradas no ambiente real.
Seis delas foram abusadas em ataques de ransomware.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...