Los atacantes han comenzado a explotar fallas de seguridad críticas reveladas recientemente que afectan a Cisco Unified Communications Manager (Unified CM) y Unified Communications Manager Session Management Edition (Unified CM SME).
La vulnerabilidad, registrada como CVE-2026-20230 (puntuación CVSS: 8,6), es un caso de validación de entrada incorrecta de ciertas solicitudes HTTP, lo que podría permitir que un atacante remoto no autenticado realice ataques de falsificación de solicitudes del lado del servidor (SSRF) a través de un dispositivo afectado.
«Un atacante podría explotar esta vulnerabilidad enviando una solicitud HTTP diseñada a un dispositivo afectado», dijo Cisco en un aviso publicado a principios de este mes. «Un exploit exitoso podría permitir al atacante escribir archivos en el sistema operativo subyacente que luego podrían usarse para escalar a la raíz».
En una publicación compartida en X a principios de esta semana, Defused Cyber dijo que había observado una explotación activa de la vulnerabilidad en los ataques. «Esto se está explotando actualmente desde una única fuente utilizando un PoC no examinado, con una carga útil de escritura de archivo file:// formateada genuina aterrizando en nuestro señuelo», señala el informe.
Sin embargo, para que la explotación sea exitosa, el servicio WebDialer debe estar habilitado. Deshabilitado por defecto. Para comprobar si WebDialer está habilitado, los usuarios pueden realizar los siguientes pasos:
Inicie sesión en la interfaz de administración de Cisco Unified CM. En el menú (Navegación), elija (Cisco Unified Serviceability) y haga clic en (Ir). En el menú (Herramientas), seleccione (Centro de control – Servicios de funciones). En la sección (Servicio CTI) de la página, verifique si el estado actual del servicio web Cisco WebDialer es (Iniciado) o (No en ejecución). Si el estado es (Iniciado), WebDialer está habilitado.
Esta vulnerabilidad se ha parcheado en Unified CM y Unified CM SME versiones 14SU6 y 15SU5. Si no se puede aplicar un parche inmediato, recomendamos desactivar el servicio WebDialer hasta que se aplique la solución.
Desde entonces, SSD Secure Disclosure ha publicado detalles técnicos adicionales sobre CVE-2026-20230, describiéndolo como una falla que permite a un atacante no autenticado aprovechar el componente Webdialer para escribir archivos arbitrarios en un servidor, obtener el verdadero nombre de host del objetivo y, en última instancia, lograr la ejecución del código.
Cisco aún no ha actualizado el aviso para reflejar la situación de explotación. La semana pasada, la compañía de seguridad de redes lanzó una actualización de seguridad para una falla de seguridad de alta gravedad (CVE-2026-20262, puntuación CVSS: 6.5) en Catalyst SD-WAN Manager que ha sido explotada en la naturaleza.
Source link
