Cisco đã vá một lỗ hổng trong Unified Communications Manager (Unified CM) cho phép kẻ tấn công chưa xác thực trên mạng có quyền ghi tệp vào hệ thống và từ đó leo thang đặc quyền lên mức root.
Lỗ hổng này được theo dõi dưới mã hiệu CVE-2026-20230, và mã khai thác Proof-of-Concept (PoC) hiện đã được công khai. Đội ngũ PSIRT của Cisco cho biết họ chưa ghi nhận lỗ hổng này bị lợi dụng trong các cuộc tấn công thực tế, nhưng việc công khai PoC sẽ làm gia tăng đáng kể rủi ro này.
Chi tiết về lỗ hổng SSRF và leo thang đặc quyền
Đây là một lỗ hổng Server-Side Request Forgery (SSRF). Unified CM và phiên bản Session Management Edition đã không kiểm tra các yêu cầu HTTP một cách chính xác, dẫn đến việc một yêu cầu được tạo thủ công có thể ép máy chủ ghi các tệp tùy ý vào hệ điều hành bên dưới. Những tệp này đóng vai trò là "bàn đạp" để kẻ tấn công có thể leo thang lên root – mức đặc quyền cao nhất trong hệ thống.
Quy trình tấn công hai bước này là lý do khiến điểm số đánh giá và mức độ cảnh báo có sự khác biệt. Điểm CVSS cơ bản là 8.6, phản ánh tác động của việc ghi tệp (chỉ ảnh hưởng đến tính toàn vẹn, không gây mất tính bảo mật hay tính khả dụng), nhưng không tính đến việc leo thang đặc quyền root theo sau đó. Tuy nhiên, Cisco vẫn xếp hạng lỗ hổng này ở mức Nghiêm trọng (Critical) vì kết quả cuối cùng là chiếm được toàn quyền kiểm soát hệ thống.
Yếu tố giảm thiểu và cách kiểm tra
Có một yếu tố giảm thiểu quan trọng: lỗ hổng chỉ hoạt động khi dịch vụ WebDialer đang chạy, và mặc định dịch vụ này sẽ được tắt khi xuất xưởng. Tuy nhiên, điều này không giúp ích cho bất kỳ hệ thống nào đã kích hoạt tính năng này.
Để kiểm tra, hãy mở Cisco Unified CM Administration và chuyển sang Cisco Unified Serviceability. Tại mục Tools > Control Center - Feature Services, hãy tìm trạng thái của Cisco WebDialer Web Service trong phần CTI Services. Nếu trạng thái là Started, nghĩa là hệ thống của bạn đang gặp nguy hiểm.
Giải pháp khắc phục và lịch trình cập nhật
Vá lỗi là giải pháp thực sự duy nhất. Đối với dòng phiên bản 14, bản vá là 14SU6. Đối với phiên bản 15, bản cập nhật Service Update (15SU5) đầy đủ dự kiến phải đến tháng 9 năm 2026 mới ra mắt. Do đó, từ nay đến lúc đó, người dùng phải cài đặt bản vá COP tạm thời hoặc tắt dịch vụ WebDialer (bỏ chọn tại Tools > Service Activation và lưu lại). Một nhà nghiên cứu độc lập làm việc với SSD Secure Disclosure đã báo cáo lỗ hổng này.
Lịch sử các lỗ hổng trên Unified CM
Unified CM thường xuyên là mục tiêu của các lỗ hổng root không cần xác thực. Vào tháng 7 năm ngoái, Cisco đã phải loại bỏ một tài khoản SSH root có mật khẩu cố định (hard-coded) bị để lại từ quá trình phát triển (CVE-2025-20309, CVSS 10).
Vào tháng 1, công ty cũng đã vá một lỗi RCE không cần xác thực trên nhiều sản phẩm thoại (CVE-2026-20045) đang bị khai thác trong thực tế, khiến CISA phải đưa nó vào danh sách Known Exploited Vulnerabilities (Các lỗ hổng bị khai thác đã biết).
Lỗ hổng CVE-2026-20230 lần này cũng đi theo mô típ cũ: một yêu cầu đáng lẽ không bao giờ được chạm tới các khu vực nhạy cảm lại có thể truy cập được. Với việc mã PoC đã công khai và bản vá chính thức cho phiên bản 15 còn nhiều tháng nữa mới có, người dùng nên chủ động phòng ngừa trước khi các cuộc tấn công diễn ra diện rộng.