Agentes maliciosos começaram a explorar uma falha crítica de segurança divulgada recentemente que afeta o Cisco Unified Communications Manager (Unified CM) e o Unified Communications Manager Session Management Edition (Unified CM SME).
A vulnerabilidade, identificada como
CVE-2026-20230
e classificada com CVSS 8,6, decorre de uma validação inadequada de entrada em determinadas solicitações HTTP. Na prática, isso pode permitir que um atacante remoto e não autenticado realize ataques de server-side request forgery (SSRF) por meio de um dispositivo afetado.
“Um atacante poderia explorar essa vulnerabilidade enviando uma solicitação HTTP criada sob medida para um dispositivo afetado”, informou a Cisco em um aviso publicado no início deste mês.
“Uma exploração bem-sucedida poderia permitir que o atacante gravasse arquivos no sistema operacional subjacente, que poderiam ser usados depois para obter privilégios de root.”
A falha foi corrigida nas versões 14SU6 e 15SU5 do Unified CM e do Unified CM SME. Se a aplicação imediata do patch não for possível, a recomendação é desativar o serviço WebDialer até que uma correção possa ser aplicada. O serviço vem desativado por padrão.
Para verificar se o WebDialer está ativo, os usuários podem seguir estes passos:
- Acessar a interface de administração do Cisco Unified CM
- No menu de navegação, selecionar Cisco Unified Serviceability e clicar em Go
- No menu Tools, escolher Control Center - Feature Services
- Na seção CTI Services da página, verificar se o status atual do Cisco WebDialer Web Service está como Started ou Not Running
- Se o status estiver como Started, o WebDialer está habilitado
A falha foi reportada à Cisco pela SSD Secure, que inicialmente não divulgou detalhes técnicos. Após a divulgação da exploração, a SSD Secure Disclosure publicou uma análise técnica adicional sobre a
CVE-2026-20230
, descrevendo a brecha como uma falha que permite a atacantes não autenticados gravar arquivos arbitrariamente no servidor.
Segundo a análise, isso é possível ao usar o componente WebDialer para descobrir o hostname real do alvo e, por fim, alcançar a execução de código. A SSD Secure observou que a exploração exige que o atacante descubra primeiro o hostname do sistema-alvo antes de realizar o ataque de gravação de arquivos, mas demonstrou que essa informação pode ser obtida do dispositivo antes da exploração.
Nesta terça-feira, a empresa de inteligência de ameaças Defused informou ter observado a falha sendo explorada ativamente em ataques. Em uma publicação no X feita no início desta semana, a Defused Cyber afirmou que a exploração está partindo de uma única origem, com uma PoC não validada e payloads de gravação de arquivo file:// corretamente formatados chegando aos seus honeypots.
“Neste momento, ela está sendo explorada a partir de uma única origem, usando uma PoC não validada, com payloads de gravação de arquivo file:// corretamente formatados chegando aos nossos honeypots”, disse a empresa.
Segundo a Defused, os ataques usam payloads file:// para criar arquivos no dispositivo. Embora a falha possa ser usada para implantar webshells e obter privilégios de root, o proof-of-concept observado pela empresa parecia ter como objetivo identificar dispositivos vulneráveis, ao tentar gravar um arquivo de texto chamado “/tmp/cve-2026-20230-test.txt”.
Para que a exploração seja bem-sucedida, no entanto, o WebDialer precisa estar habilitado.
Após a divulgação da exploração, a Cisco ainda não atualizou seu aviso para refletir o status de exploração ativa. Na semana passada, a empresa de segurança de redes também divulgou patches para uma falha de gravidade média no Catalyst SD-WAN Manager, identificada como CVE-2026-20262 e com CVSS 6,5, que vem sendo explorada ativamente no mundo real.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...