Atacantes exploram falha crítica no Unified CM

A Cisco confirmou que a vulnerabilidade CVE-2026-20230, identificada no Cisco Unified Communications Manager (Unified CM) e no Unified Communications Manager Session Management Edition (Unified CM SME), está a ser explorada ativamente por atacantes.

A falha, classificada com uma pontuação CVSS de 8,6, foi corrigida pela fabricante a 3 de junho, mas novas informações indicam que já existem tentativas de exploração em ambiente real.

Segundo a Cisco, a vulnerabilidade resulta de uma validação insuficiente de determinados pedidos HTTP, permitindo a execução de ataques do tipo Server-Side Request Forgery (SSRF). Um atacante remoto e não autenticado pode explorar a falha para escrever ficheiros no sistema operativo subjacente, criando condições para uma posterior escalada de privilégios até ao nível de root.

A atividade maliciosa foi inicialmente identificada pela empresa de inteligência de ameaças Defused, que revelou ter observado tentativas de exploração durante o último fim de semana.

De acordo com os investigadores, os ataques estão a partir de um único endereço IP e utilizam payloads para criar ficheiros nos sistemas vulneráveis.

Embora a vulnerabilidade possa ser utilizada para instalar webshells e obter controlo total dos equipamentos, os ataques observados até ao momento parecem ter um caráter predominantemente exploratório.

Após a divulgação dos ataques, a SSD Secure, empresa responsável pela descoberta da vulnerabilidade, publicou uma análise técnica detalhada sobre o funcionamento da falha. Segundo os investigadores, o problema encontra-se no componente WebDialer do Cisco Unified CM. Um atacante pode manipular URL fornecidos à aplicação e recorrer a endereços para forçar a escrita arbitrária de ficheiros no sistema operativo. Ao controlar tanto a localização como o conteúdo dos ficheiros criados, torna-se possível alcançar execução remota de código e, posteriormente, privilégios de root no sistema comprometido.

A SSD Secure explica ainda que a exploração requer o conhecimento prévio do hostname do equipamento alvo, mas demonstra que essa informação pode ser obtida diretamente a partir do sistema antes do ataque principal.

A Cisco ainda não divulgou indicadores de compromisso adicionais nem confirmou publicamente a extensão da atividade maliciosa observada. No entanto, os especialistas recomendam a aplicação imediata das atualizações disponibilizadas pela fabricante e a revisão dos sistemas expostos à Internet para identificar sinais de exploração.