Cisco потвърди, че нападателите вече експлоатират уязвимост в Unified Communications Manager (Unified CM), която беше отстранена в началото на юни.

Unified CM (известен преди като Cisco CallManager) е централната система за контрол на IP телефонните системи на Cisco, която управлява маршрутизирането на повикванията, управлението на устройствата и телефонните функции.

Външни лица без привилегии могат да експлоатират уязвимостта (CVE-2026-20230) дистанционно чрез атаки от тип Server-Side Request Forgery (SSRF) с ниска сложност, изпращайки специално създадена HTTP заявка.

На 3 юни, когато пусна корекции за сигурност за проблема, Cisco заяви, че нейният екип за реагиране при инциденти с продуктовата сигурност (PSIRT) е запознат с публично достъпен код за експлоатация на CVE-2026-20230, но няма доказателства за активно експлоатиране.

Въпреки това, около три седмици по-късно, на 22 юни, компанията за разузнаване на заплахи Defused разкри, че нападателите са започнали да експлоатират уязвимостта, използвайки правилно конструирани payload-и с протокол file:// за създаване на файлове на целевите устройства.

Един ден по-късно SSD Secure също публикува технически анализ, който включваше доказателство за концепцията (PoC) и обясняваше как работи уязвимостта.

Компанията най-накрая потвърди тази сряда, че нападателите експлоатират CVE-2026-20230, и призова клиентите да подсигурят системите си.

Cisco препоръчва на администраторите, които не могат веднага да инсталират актуализациите, да деактивират уязвимата услуга WebDialer като временна мярка за защита.