Các tác nhân đe dọa đã bắt đầu khai thác một lỗ hổng bảo mật nghiêm trọng mới được công bố, ảnh hưởng đến Cisco Unified Communications Manager (Unified CM) và Unified Communications Manager Session Management Edition (Unified CM SME).
Lỗ hổng này, được theo dõi dưới mã hiệu CVE-2026-20230 (điểm CVSS: 8.6), là một trường hợp xác thực đầu vào không đúng cho các yêu cầu HTTP cụ thể, cho phép kẻ tấn công từ xa chưa xác thực thực hiện các cuộc tấn công SSRF (Server-Side Request Forgery) thông qua thiết bị bị ảnh hưởng.
"Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một yêu cầu HTTP được thiết kế đặc biệt đến thiết bị bị ảnh hưởng," Cisco cho biết trong một khuyến cáo được đưa ra đầu tháng này. "Việc khai thác thành công có thể cho phép kẻ tấn công ghi các tệp vào hệ điều hành bên dưới, sau đó có thể được sử dụng để leo thang đặc quyền lên root."
Trong một bài đăng được chia sẻ trên X đầu tuần này, Defused Cyber cho biết họ đã quan sát thấy việc khai thác tích cực lỗ hổng này trong các cuộc tấn công. "Lỗ hổng hiện đang bị khai thác từ một nguồn duy nhất bằng cách sử dụng một PoC chưa được kiểm chứng, với các payload ghi tệp định dạng file:// thực sự hạ cánh trên các hệ thống bẫy (decoys) của chúng tôi," công ty lưu ý.
Điều kiện khai thác và cách kiểm tra
Tuy nhiên, để khai thác thành công, dịch vụ WebDialer phải được kích hoạt. Theo mặc định, dịch vụ này bị vô hiệu hóa. Để kiểm tra xem WebDialer có đang hoạt động hay không, người dùng có thể thực hiện các bước sau:
- Đăng nhập vào giao diện quản trị Cisco Unified CM Administration.
- Từ menu Navigation, chọn Cisco Unified Serviceability và nhấn Go.
- Từ menu Tools, chọn Control Center - Feature Services.
- Trong phần CTI Services, kiểm tra xem trạng thái hiện tại của Cisco WebDialer Web Service là Started hay Not Running.
- Nếu trạng thái là Started, WebDialer đang được bật.
Lỗ hổng đã được khắc phục trong các phiên bản Unified CM và Unified CM SME 14SU6 và 15SU5. Nếu không thể cập nhật ngay lập tức, người dùng được khuyên nên vô hiệu hóa dịch vụ WebDialer cho đến khi bản vá được áp dụng.
Chi tiết kỹ thuật và rủi ro thực thi mã từ xa (RCE)
SSD Secure Disclosure sau đó đã công bố thêm các chi tiết kỹ thuật của CVE-2026-20230, mô tả đây là một lỗi cho phép kẻ tấn công chưa xác thực ghi tệp tùy ý vào máy chủ bằng cách tận dụng thành phần WebDialer để lấy tên máy chủ (hostname) thực của mục tiêu và cuối cùng là thực thi mã.
Cisco hiện vẫn chưa cập nhật khuyến cáo để phản ánh tình trạng bị khai thác thực tế. Tuần trước, công ty an ninh mạng này cũng đã phát hành các bản cập nhật bảo mật cho một lỗ hổng mức độ trung bình trong Catalyst SD-WAN Manager (CVE-2026-20262, điểm CVSS: 6.5) vốn cũng đang bị khai thác trong thực tế.