Hackers misbruiken Cisco-lek in Unified Communications

In dit artikel:

Aanvallers misbruiken sinds kort actief een ernstige fout in Cisco Unified Communications Manager, het systeem dat veel bedrijven gebruiken voor telefonie en communicatie. Het gaat om CVE-2026-20230, een kwetsbaarheid in zowel Unified CM als Unified CM Session Management Edition, waarvoor Cisco begin deze maand al updates uitbracht. Volgens beveiligingsonderzoekers kunnen aanvallers via deze fout zonder inloggegevens servers verkennen en uiteindelijk overnemen.

De aanval draait om onvoldoende controle op HTTP-verzoeken en een zwakke plek in de WebDialer-functie. Daardoor kan een kwaadwillende via speciaal gemaakte `file://`-verzoeken bestanden op het onderliggende besturingssysteem plaatsen, wat kan uitmonden in het uitvoeren van code met beheerdersrechten. In de praktijk kan dat leiden tot een volledige overname van de server.

Beveiligingsbedrijf Defused Cyber zag afgelopen weekend al actieve misbruikpogingen, vermoedelijk vanaf één IP-adres. Die aanvallen lijken vooralsnog vooral bedoeld om kwetsbare systemen te identificeren in plaats van direct malware te installeren. Onderzoekers waarschuwen echter dat dezelfde methode ook kan worden gebruikt voor webshells en andere schadelijke acties.

De kwetsbaarheid is alleen misbruikbaar als WebDialer is ingeschakeld; die functie staat standaard uit. Cisco adviseert organisaties die nog niet hebben geüpdatet om WebDialer tijdelijk uit te schakelen totdat de patches zijn geïnstalleerd.