Один запрос — и чужой файл уже внутри вашего сервера. Хакеры прощупывают новую дыру в корпоративной телефонии Cisco

В сети начались попытки использовать уязвимость CVE-2026-20230 в серверах Cisco Unified, которые применяют для корпоративной телефонии. Ошибка позволяет удалённому атакующему без логина заставить сервер создать файл в операционной системе. При дальнейшем развитии атаки злоумышленник может получить права root, то есть полный контроль над устройством.

Cisco выпустила обновления 3 июня и оценила проблему в 8,6 балла по шкале CVSS. Уязвимость затрагивает Unified Communications Manager и Unified Communications Manager Session Management Edition. Обе системы отвечают за управление звонками и маршрутизацию вызовов в корпоративной телефонной инфраструктуре.

Ошибка находится в компоненте WebDialer, который помогает пользователям инициировать звонки через браузер и приложения. WebDialer принимает адреса от пользователя, но недостаточно строго проверяет часть HTTP-запросов. Атакующий может отправить специально сформированный запрос и заставить сервер обработать путь к локальному файлу как допустимый адрес.

Подобную атаку называют SSRF атака, или подделкой запросов на стороне сервера. Обычно SSRF используют, чтобы вынудить сервер обратиться к ресурсу по адресу, выбранному атакующим. В случае CVE-2026-20230 ошибка позволяет не только обращаться к локальным путям, но и записывать в операционную систему файлы с заданным содержимым.

Одна запись файла ещё не означает полный захват сервера. Однако злоумышленник может подготовить файл, который позже даст возможность выполнить команду с повышенными правами. Cisco предупредила, что успешная эксплуатация способна привести к повышению привилегий. В таком случае хакер получит доступ к настройкам телефонной системы, журналам, служебным данным и другим ресурсам, доступным администратору.

Брешь первоначально обнаружила компания SSD Secure. На момент передачи информации Cisco исследователи не публиковали технических деталей. После появления первых сообщений об атаках SSD Secure выпустила подробный разбор и демонстрационный код, показав, как WebDialer обрабатывает пользовательские адреса и как ошибка позволяет записывать произвольные файлы на сервер.

Компания Defused зафиксировала попытки эксплуатации в своей сети ловушек, которая имитирует уязвимые устройства и собирает данные об атаках. Запросы шли с одного IP-адреса и содержали корректно сформированные обращения к локальным файлам через file://. На момент наблюдений Defused не видела признаков установки веб-шелла или захвата серверов. Вместо этого атакующий создавал в каталоге /tmp тестовый текстовый файл, чтобы понять, отвечает ли цель на уязвимый запрос.

Пока активность больше похожа на разведку. Оператор атаки ищет доступные серверы с неустановленными обновлениями и проверяет, можно ли записать файл в операционную систему. Появление технического описания и демонстрационного кода повышает риск: после разведки другие группы могут использовать ту же ошибку для установки веб-шеллов и получения прав root.

Для атаки злоумышленнику сначала нужно узнать имя целевого сервера. SSD Secure показала, что устройство само раскрывает нужные сведения ещё до записи файла, поэтому требование не создаёт серьёзного препятствия. На момент наблюдений Defused уязвимость ещё не входила в каталог CISA Known Exploited Vulnerabilities, куда американское ведомство добавляет ошибки с подтверждённой эксплуатацией.

Администраторам Cisco Unified CM и Unified CM SME советуют установить обновления Cisco и проверить журналы WebDialer на подозрительные запросы к локальным путям. Отдельного обходного решения без обновления Cisco не предложила. Сама возможность записывать файлы без авторизации делает CVE-2026-20230 особенно опасной для серверов, доступных из недоверенных сетей. Первые попытки эксплуатации также подтвердили SecurityWeek.