Cisco a publié des correctifs de sécurité pour une faille critique dans son système Unified Communications Manager. Les attaquants peuvent exploiter cette vulnérabilité pour obtenir les privilèges d’administration les plus élevés.
Ce logiciel, anciennement nommé Cisco CallManager, constitue le système de contrôle principal pour les solutions de téléphonie IP de l’entreprise. Il gère les périphériques, le routage des appels et les fonctionnalités téléphoniques.
La vulnérabilité, identifiée sous la référence CVE-2026-20230, permet à des pirates d’effectuer des attaques à distance. Une complexité technique faible est requise pour exploiter cette faille de type Server-Side Request Forgery.
Cisco explique qu’un attaquant peut envoyer une requête HTTP spécialement conçue à un appareil vulnérable. Si l’exploit réussit, le pirate peut écrire des fichiers sur le système d’exploitation sous-jacent. Cette action sert ensuite à élever ses privilèges jusqu’au compte root.
L’entreprise a attribué un niveau d’impact critique à cet avis de sécurité. Bien que le score technique indique un niveau élevé, la possibilité d’obtenir un accès root justifie cette classification plus sévère.
L’équipe PSIRT de Cisco connaît l’existence publique d’un code d’exploitation pour la CVE-2026-20230. Cependant, elle n’a trouvé aucune preuve d’une exploitation active ou de campagnes de ciblage.
Cette vulnérabilité affecte uniquement les systèmes où le service WebDialer est activé. Par défaut, ce service est désactivé.
Pour vérifier son état, les administrateurs doivent se connecter à l’interface d’administration de Cisco Unified CM. Ils doivent ensuite accéder à « Cisco Unified Serviceability », cliquer sur « Aller », puis consulter l’état du service dans le menu Outils > Services CTI, sous la rubrique « Centre de contrôle – Services de fonctionnalité ».
Aucune solution de contournement n’existe pour atténuer ce risque. Cisco recommande fortement d’installer les versions mises à jour 14SU6 ou 15SU5 de Unified CM. En attendant l’application des correctifs, les administrateurs peuvent désactiver le service WebDialer pour bloquer les tentatives d’attaque.
Pour désactiver ce service, il faut suivre cette procédure :
- Se connecter à l’interface d’administration Cisco Unified CM.
- Dans le menu ‘Navigation’, sélectionner ‘Cisco Unified Serviceability’ et cliquer sur Aller.
- Dans le menu ‘Outils’, choisir ‘Activation du service’.
- Dans la section ‘Services CTI’ de la page, décocher la case ‘Service Web Cisco WebDialer’, puis cliquer sur Enregistrer.
En janvier dernier, Cisco avait déjà corrigé une autre faille critique dans Unified CM, référencée CVE-2026-20045. Des pirates avaient exploité cette vulnérabilité en tant que zero-day pour exécuter du code à distance.
Ces dernières années, la société a également dû supprimer un compte administrateur caché dans Unified CM. Ce compte permettait une connexion à distance avec des privilèges root sur les appareils non corrigés. Une autre faille, la CVE-2024-20253, qui donnait un accès root aux systèmes vulnérables, avait aussi été corrigée.
Sur les cinq dernières années, l’agence américaine CISA a répertorié 91 vulnérabilités Cisco exploitées activement. Six d’entre elles ont été utilisées par différentes opérations de rançongiciel.