A Cisco sürgősségi biztonsági frissítéseket adott ki a Cisco Unified Communications Manager (Unified CM) rendszerhez kapcsolódó kritikus sérülékenység javítására.
A CVE-2026-20230 azonosítójú hiba lehetővé teheti, hogy egy távoli támadó végül root szintű hozzáférést szerezzen az érintett rendszereken.
A helyzetet súlyosbítja, hogy már nyilvánosan elérhetővé vált egy proof-of-concept (PoC) exploit is, amely jelentősen csökkentheti a támadók számára a kihasználás technikai nehézségét.
Mi az érintett rendszer?
A Cisco Unified Communications Manager a Cisco vállalati telefonközponti és kommunikációs platformja, amelyet világszerte használnak:
- IP telefonrendszerek kezelésére
- hívásirányításra
- konferencia szolgáltatásokra
- vállalati kommunikációs infrastruktúra működtetésére
- call center környezetekben
Számos nagyvállalat, pénzügyi intézmény és állami szervezet használja.
Mi a sérülékenység?
CVE: CVE-2026-20230
A sérülékenység egy SSRF (Server-Side Request Forgery) hibából ered.
Az SSRF lényege, hogy a támadó ráveszi a szervert arra, hogy olyan belső kéréseket hajtson végre, amelyeket normál esetben nem lenne szabad.
A Cisco szerint:
- a támadó egy speciálisan kialakított HTTP kérést küld,
- a Unified CM fájlokat írhat az operációs rendszerre,
- ezt követően jogosultság-emelés hajtható végre,
- végül root jogosultság szerezhető.
Miért veszélyes?
A root jogosultság gyakorlatilag teljes rendszerszintű hozzáférést jelent.
A támadó képes lehet:
✅ hátsó kapuk telepítésére
✅ rendszerbeállítások módosítására
✅ kártékony programok telepítésére
✅ naplófájlok manipulálására
✅ további rendszerek kompromittálására
✅ laterális mozgásra a hálózatban
Mikor érintett a rendszer?
Fontos korlátozó tényező, hogy a sérülékenység csak akkor használható ki, ha a WebDialer szolgáltatás engedélyezve van.
A WebDialer egy opcionális funkció, amely lehetővé teszi:
- webes alkalmazásokból történő hívásindítást,
- böngészőből indított telefonhívásokat,
- CRM rendszerek és telefonközpont integrációját.
Alapértelmezés szerint a WebDialer ki van kapcsolva.
Hogyan ellenőrizhető?
A Cisco javaslata szerint:
Cisco Unified Serviceability → Control Center → Feature Services → CTI Services
Itt ellenőrizhető, hogy a WebDialer aktív-e.
Van kerülőmegoldás?
A Cisco szerint teljes workaround jelenleg nincs.
Amennyiben azonnali frissítés nem lehetséges:
- a WebDialer szolgáltatást ki kell kapcsolni,
- fokozott naplófigyelést kell alkalmazni,
- korlátozni kell a rendszer elérhetőségét.
Javított verziók
A Cisco által javasolt verziók:
- Unified CM 14SU6
- Unified CM 15SU5
- a kapcsolódó 2026 szeptemberi karbantartási frissítések
- Cisco COP csomagok
Miért fontos ez a sérülékenység?
A kommunikációs rendszerek sok esetben:
- Active Directory integrációval rendelkeznek,
- LDAP hitelesítést használnak,
- kapcsolatban állnak CRM rendszerekkel,
- kapcsolatban állnak Microsoft Teams vagy egyéb együttműködési platformokkal.
Ezért egy Unified CM kompromittálása jóval többet jelenthet egy telefonrendszer feltörésénél.
A támadó hozzáférhet:
- felhasználói adatokhoz,
- hívásnaplókhoz,
- hangpostákhoz,
- hitelesítési információkhoz,
- belső szervezeti struktúrákhoz.
Mit javasol a Cisco?
Az érintett szervezetek számára:
- Ellenőrizzék, hogy a WebDialer engedélyezve van-e.
- Ha igen, mielőbb telepítsék a javítást.
- Ha a javítás késik, kapcsolják ki a WebDialert.
- Vizsgálják át a HTTP naplókat.
- Figyeljék az ismeretlen fájlok létrejöttét.
- Ellenőrizzék az esetleges jogosultság-emelési eseményeket.
- Végezzenek sérülékenységvizsgálatot a Unified CM rendszereken.
Összegzés
A CVE-2026-20230 jelenleg nem ismert aktív kihasználás alatt álló sérülékenység, azonban a nyilvánosan elérhető PoC exploit jelentősen növeli a kockázatot. Mivel a sikeres támadás root jogosultság megszerzéséhez vezethet, a Cisco ezt a hibát kritikus üzleti kockázatként kezeli, és a javítás telepítése halaszthatatlan azon szervezetek számára, amelyeknél a WebDialer szolgáltatás aktív.
