Cisco confirma exploração de falha no Unified CM por atacantes
2 de Julho de 2026

A Cisco confirmou que invasores já estão explorando uma vulnerabilidade no Unified Communications Manager (Unified CM), corrigida no início de junho.

O Unified CM, antigo Cisco CallManager, é o sistema central de controle das soluções de telefonia IP da Cisco.

Ele faz o roteamento de chamadas, o gerenciamento de dispositivos e a administração de recursos de telefonia.

A falha, identificada como CVE-2026-20230 , pode ser explorada remotamente por threat actors sem privilégios em ataques de server-side request forgery (SSRF), de baixa complexidade, por meio do envio de uma requisição HTTP especialmente criada.

Em 3 de junho, quando lançou as atualizações de segurança para corrigir o problema, a Cisco informou que sua equipe de resposta a incidentes de segurança de produtos, a PSIRT, já tinha conhecimento de código de exploit de prova de conceito disponível publicamente para a CVE-2026-20230 , mas ainda não havia evidências de exploração ativa.

Cerca de três semanas depois, em 22 de junho, a empresa de inteligência de ameaças Defused revelou que invasores haviam começado a explorar a falha usando payloads file:// montados corretamente para criar arquivos em dispositivos alvo.

Um dia depois, a SSD Secure também publicou uma análise técnica com um exploit de prova de conceito e explicou o funcionamento da vulnerabilidade.

Na época, a Cisco não respondeu aos questionamentos sobre se a empresa também já estava observando a exploração ativa da falha e se poderia compartilhar indicadores de comprometimento.

Nesta quarta-feira, a empresa finalmente confirmou que a CVE-2026-20230 está sendo explorada e pediu que clientes protejam seus sistemas contra a exploração em andamento.

“A Cisco PSIRT tem conhecimento de que há código de exploit de prova de conceito disponível para a vulnerabilidade descrita neste aviso”, informou a empresa em uma atualização do comunicado original.

“Em junho de 2026, a Cisco PSIRT tomou conhecimento da exploração ativa desta vulnerabilidade.

A Cisco continua recomendando fortemente que os clientes atualizem para uma versão de software corrigida para remediar esta vulnerabilidade.”

A Cisco também divulgou medidas de mitigação para administradores e equipes de segurança que não conseguem instalar imediatamente as versões 14SU6 ou 15SU5 do Cisco Unified CM, ou os pacotes Sep 2026 ou COP.

A orientação é desativar o serviço WebDialer, que é vulnerável, até que um patch seja aplicado, bloqueando assim ataques de entrada baseados na CVE-2026-20230 .

O serviço de monitoramento de segurança na internet Shadowserver está rastreando atualmente mais de 200 instâncias do Cisco Unified CM expostas online, a maioria na Ásia e na América do Norte.

Ainda não há detalhes sobre quantas já foram protegidas contra os ataques em curso.

Nos últimos anos, a Cisco também corrigiu duas falhas no Unified CM, a CVE-2024-20253 e a CVE-2025-20309 , que permitiam a threat actors obter privilégios de root, além de outra falha, a CVE-2026-20045 , que vinha sendo explorada ativamente como zero-day para obter execução remota de código.

Desde novembro de 2021, a U.S.

Cybersecurity and Infrastructure Security Agency (CISA) já classificou 93 vulnerabilidades da Cisco como ativamente exploradas no ambiente real.

Seis delas foram abusadas em ataques de ransomware.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...