Cisco выпустила исправление для Unified Communications Manager — корпоративной системы телефонии и связи, которую часто ставят в больших компаниях. Ошибка CVE-2026-20230 позволяла атакующему без логина писать файлы на сервер, а затем подниматься до root-доступа.
Критичность здесь не только в самой дыре, но и в том, что код для атаки уже стал публичным. Это значит, что у администраторов меньше времени на реакцию, а у злоумышленников — меньше работы по подготовке атаки.
Что это за уязвимость
Речь идёт о серверной уязвимости в Cisco Unified CM и Session Management Edition. По сути, система неверно проверяла часть HTTP-запросов, из-за чего внешняя машина в сети могла заставить сервер записать файл туда, куда не должна.
Сам по себе такой файл — ещё не полный взлом. Но он становится опорной точкой для следующего шага: повышения привилегий до root, то есть до самого высокого уровня доступа в системе.
Именно поэтому Cisco поставила проблеме статус Critical, хотя базовый CVSS-оценщик дал 8,6. Формально он учитывает запись файлов, но не весь сценарий до конца — с захватом контроля над сервером.
Как это работает технически
Атакующий отправляет специально сформированный запрос. Если на сервере включён WebDialer, защита спотыкается, и система принимает запрос как допустимый.
Дальше сервер начинает писать файлы в операционную систему. Это не просто мусор на диске: такие файлы можно использовать для дальнейших действий, в том числе для закрепления в системе и попытки поднять права.
Есть и важная оговорка: уязвимость срабатывает только тогда, когда включена служба WebDialer. По умолчанию она выключена, но это мало успокаивает те компании, которые активировали её для работы телефонии или интеграций.
Для администраторов картина знакома по другим инцидентам Cisco. Ранее компания уже закрывала уязвимость в SD-WAN Manager с root-доступом, а значит, проблемный класс ошибок для её продуктов не нов.
Почему это опасно
Опасность здесь в связке «без логина — запись файла — root». Такой сценарий часто заканчивается не точечной поломкой, а полным контролем над сервером связи.
Для компании это означает риск перехвата администрирования, срыва связи, доступа к конфигурации и, в худшем случае, дальнейшего движения атакующего по внутренней сети. Если Unified CM стоит в центре корпоративной телефонии, удар может задеть сразу несколько подразделений.
Публикация proof-of-concept-кода усиливает риск ещё сильнее. Даже если Cisco пока не видит массовой эксплуатации, окно между публикацией и первыми атаками обычно быстро закрывается.
Как понять, касается ли это вас
Проверять нужно не всех подряд, а конкретные инсталляции Cisco Unified CM и Session Management Edition. Если у вас нет этих систем, проблема вас не касается.
Если система есть, откройте Cisco Unified CM Administration и перейдите в Cisco Unified Serviceability. Далее найдите Tools > Control Center - Feature Services и посмотрите статус Cisco WebDialer Web Service в разделе CTI Services.
Если там стоит Started, риск уже есть. Если служба выключена, уязвимость в текущем сценарии не сработает, но обновление всё равно откладывать нельзя.
Что делать прямо сейчас
Cisco указывает на два рабочих шага: установить патч или отключить WebDialer, если он не нужен. Для ветки 14 компания выпустила 14SU6. Для 15-й ветки полный Service Update 15SU5 ожидается только в сентябре 2026 года, поэтому пока используется промежуточный COP-патч.
Это тот случай, когда лучше не надеяться на отсрочку. Если система доступна из внутренней сети, а служба включена, любой сотрудник или заражённый хост внутри периметра может стать точкой входа.
С точки зрения общей гигиены безопасности полезно держать отдельный контроль над обновлениями, привилегиями и журналами. Похожая логика работает и в других инцидентах с корпоративными сервисами — например, когда вредонос маскируют под обычные приложения и игры, а затем используют для закрепления в сети.
Для компаний, которые регулярно работают с открытыми сетями вне офиса, отдельным слоем защиты остаётся шифрование трафика и контроль утечек метаданных. Один из таких инструментов — защищённый канал для поездок и аэропортов, если речь идёт о легальной защите собственного соединения и переписки на чужой инфраструктуре.
Практический чек-лист
- Проверьте, используется ли у вас Cisco Unified CM или Session Management Edition.
- Посмотрите статус Cisco WebDialer Web Service в Cisco Unified Serviceability.
- Если служба не нужна, отключите её через Tools > Service Activation.
- Если служба нужна, установите 14SU6 или промежуточный COP-патч для 15-й ветки.
- Ограничьте доступ к администрированию только с доверенных адресов и через отдельные учётные записи.
- Проверьте журналы на подозрительные HTTP-запросы и необычную запись файлов.
- Поднимите приоритет обновления, если Unified CM стоит на критичном узле связи.
- Сверьте эту историю с другими корпоративными рисками в материале о атаках на сети компаний и точках входа.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.