Une faille de sécurité de haute gravité, référencée sous le code CVE-2026-20230, qui affecte Cisco Unified Communications Manager Server, fait l’objet d’exploitations actives.
Cisco a publié des correctifs pour cette vulnérabilité le 3 juin. La firme avait averti qu’une exploitation réussie pourrait accorder des privilèges root sur l’appareil compromis.
Selon Cisco, « une vulnérabilité dans Cisco Unified Communications Manager et sa version Session Management Edition pourrait permettre à un attaquant non authentifié et distant de conduire des attaques de type server-side request forgery par le biais d’un dispositif affecté. »
« Cette vulnérabilité est due à une validation incorrecte des entrées pour des requêtes HTTP spécifiques. Un attaquant pourrait exploiter cette faille en envoyant une requête HTTP élaborée à un appareil affecté. Une exploitation réussie pourrait permettre à l’attaquant d’écrire des fichiers sur le système d’exploitation sous-jacent, fichiers qui pourraient ensuite être utilisés pour élever ses privilèges jusqu’au niveau root. »
La faille a été signalée à Cisco par la société SSD Secure. L’entreprise de renseignement sur les menaces Defused a annoncé que cette vulnérabilité est maintenant exploitée dans des attaques.
Defused a publié un avertissement sur la plateforme X : « Ce week-end, nous avons observé l’exploitation de CVE-2026-20230 – une SSRF dans le composant WebDialer de Cisco Unified CM qui conduit à une écriture de fichier avec privilèges root (CVSS 8.6). Aucune exploitation n’avait été enregistrée auparavant, et elle n’est pas encore listée dans le catalogue CISA KEV. »
Selon Defused, les attaques proviennent d’une seule adresse IP. Elles utilisent des charges utiles de type file:// correctement construites pour créer des fichiers sur l’appareil cible.
Source : Defused
Bien que la faille puisse être exploitée pour déposer des webshells et obtenir des privilèges root, la preuve de concept observée par Defused semble conçue pour identifier les appareils vulnérables. Elle tente d’écrire un fichier texte nommé ‘/tmp/cve-2026-20230-test.txt’.
Après la divulgation de l’exploitation, SSD Secure a publié une analyse technique détaillée de la faille. Elle explique le fonctionnement de la vulnérabilité et partage une preuve de concept d’exploit.
Les chercheurs ont découvert qu’un attaquant non authentifié pourrait abuser du traitement des URLs fournies par l’utilisateur dans le composant Webdialer. Cela force l’application à écrire des fichiers arbitraires sur le système d’exploitation en utilisant des URI de type file://.
En contrôlant le chemin du fichier et le contenu écrit sur le disque, un attaquant pourrait exploiter ce bug pour obtenir une exécution de code à distance et finalement acquérir des privilèges root sur les appareils vulnérables.
SSD Secure a noté que l’exploitation nécessite que l’attaquant obtienne d’abord le nom d’hôte du système cible avant de mener l’attaque d’écriture de fichier. Cependant, les chercheurs ont démontré comment cette information peut être récupérée depuis l’appareil avant l’exploitation.
L’exploitation actuelle semble avoir une nature de reconnaissance. Mais maintenant que la faille est pleinement divulguée, il est probable que davantage de groupes malveillants ciblent ces serveurs.