Aktywnie wykorzystywana, krytyczna luka w Cisco Unified Communications

Cisco załatało aktywnie wykorzystywaną, krytyczną podatność w produktach Unified Communications oraz Webex Calling Dedicated Instance. Problem dotyczy zarówno instalacji on-prem (CUCM), jak również chmurowego rozwiązania Webex Calling Dedicated Instance. Luka została oznaczona identyfikatorem CVE-2026-20045. W ramach oceny NIST NVD otrzymała wynik 9.8 w CVSS 3.1 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). Sytuacja jest bardzo poważna. Wykorzystanie błędu może nie tylko skutkować nieuprawnionym dostępem do rozmów, nagrań i konfiguracji usługi, ale także umożliwić uzyskanie dostępu do systemu operacyjnego na poziomie użytkownika, a w następnym etapie podniesienie uprawnień do poziomu roota.

TLDR:

• Cisco załatało krytyczną podatność w Unified Communications oraz Webex Calling Dedicated Instance. Atakujący mogą uzyskać dostęp do konta użytkownika, a następnie podnieść uprawnienia do konta roota.
• Luka jest aktywnie wykorzystywana. Atak jest możliwy bez jakiegokolwiek uwierzytelnienia. Ocena 9.8 w CVSS 3.1.
• To kolejny poważny problem bezpieczeństwa związany z produktami Cisco w ostatnim czasie.

Cisco Unified Communications Manager (CUCM) to oprogramowanie do sterowania i routingu systemów telefonicznych działających w oparciu o protokół internetowy (VoIP). Taki serwer pełni funkcje tradycyjnego systemu telefonicznego, a nierzadko także integruje aplikacje wideo, mobilne, CTI i do współpracy. To rozwiązanie działające pod kontrolą systemu Cisco Unified OS najczęściej uruchamiane jest w maszynach wirtualnych VMware ESXi (Cisco udostępnia obrazy OVF/OVA i oficjalne wymagania w dokumentacji). Oprogramowanie oferuje wysoką skalowalność. Jego architektura pozwala łączyć wiele klastrów, dzięki czemu możliwa jest obsługa bardzo dużych, rozproszonych środowisk. Typowy klaster obsługuje zwykle dziesiątki tysięcy użytkowników, a instalacje złożone z wielu klastrów pozwalają obsługiwać nawet miliony użytkowników. Konfiguracja CUCM odbywa się głównie za pomocą graficznego interfejsu użytkownika. To właśnie tutaj wystąpił opisywany problem.

Za całą sytuację odpowiedzialna jest niewłaściwa walidacja danych dostarczanych w żądaniach HTTP. Wykorzystanie błędu sprowadza się do wysłania sekwencji odpowiednio spreparowanych zapytań HTTP. Umożliwia to atakującemu zdobycie uprawnień użytkownika, a następnie eskalację do uprawnień roota. Problem został sklasyfikowany jako CWE-94 – Improper Control of Generation of Code (‘Code Injection’). Jak podaje Cisco, aby dokonać ataku nie jest wymagane uwierzytelnienie. Niestety odnotowano już próby wykorzystania luki. O powadze sytuacji może świadczyć fakt umieszczenia podatności w prowadzonym przez CISA katalogu KEV (Known Exploited Vulnerabilities Catalog), co dla instytucji federalnych Stanów Zjednoczonych oznacza wymóg szybkiego zastosowania łatek bezpieczeństwa. Jako datę graniczną dla wprowadzenia poprawek wyznaczono 11 lutego 2026 r.

Problem dotyczy następujących produktów:
· Unified CM

· Unified CM SME

· Unified CM IM&P

· Unity Connection

· Webex Calling Dedicated Instance

Nie są znane żadne sposoby obejścia problemu. Producent stanowczo zaleca jak najszybszą aktualizację. Warto także zwrócić uwagę, że linia 12.5 nie otrzyma stosownego patcha. Użytkownicy korzystający z oprogramowania z linii 12.5 powinni przejść do linii 14 lub 15. Odpowiednio w linii 14 powinna to być wersja co najmniej 14SU5, a w linii 15 co najmniej 15SU4. Alternatywnie można zaaplikować patcha dostępnego na stronie producenta. 

Nie są to jedyne problemy z bezpieczeństwem występujące w gamie produktów Cisco w ostatnim czasie. W związku z niedawno wykrytą podatnością w AsyncOS tym miesiącu Cisco udostępniło aktualizację bezpieczeństwa (CVE-2025-20393). Podobnie jak w tym przypadku możliwe było wykonanie dowolnych poleceń w systemie operacyjnym z uprawnieniami roota (ocena 10.0 w CVSS 3.1).

Bez względu na renomę producenta powinniśmy mieć świadomość, że stałe śledzenie biuletynów bezpieczeństwa i odpowiednie reagowanie powinno należeć do podstawowych zadań każdego administratora. Wszyscy, którzy mówią i piszą o bezpieczeństwie powtarzają to, jak mantrę, ale i tym razem warto wyraźnie podkreślić, że regularne i szybkie instalowanie aktualizacji bezpieczeństwa nie rozwiązuje wszystkich problemów, jednak zaniechanie tej czynności może sprawić, że nasze systemy staną się całkowicie bezbronne. Aktualizujmy się.

Źródło: Cisco

~pu