25 Giugno 2026 12:45    Alert

Cisco Unified CM CVE-2026-20230: SSRF su WebDialer sfruttata per webshell ed escalation a root, già in KEV

Da proof of concept pubblico a sfruttamento attivo nel giro di poche settimane: è la parabola della CVE-2026-20230, vulnerabilità in Cisco Unified Communications Manager (CUCM) e nella variante Session Management Edition (CUCM SME), le piattaforme Cisco per la gestione della telefonia VoIP aziendale. Il difetto, con CVSS v3.1 pari a 8.6, nasce da una validazione impropria di specifiche richieste HTTP nel componente WebDialer e si configura come server-side request forgery (SSRF): un attaccante remoto non autenticato, inviando richieste opportunamente predisposte, può accedere a risorse interne e scrivere file arbitrari sul sistema operativo sottostante, gettando le basi per un'escalation fino a root.

Lo sfruttamento in rete è stato osservato nel fine settimana del 21-22 giugno, subito dopo la diffusione di un PoC pubblico, e la CISA ha inserito la CVE nel catalogo KEV il 25 giugno 2026 con una scadenza di remediation strettissima, fissata al 28 giugno 2026 per le agenzie federali statunitensi. I ricercatori di Horizon3.ai, che hanno pubblicato il codice di analisi, hanno documentato la catena d'attacco: la SSRF di WebDialer viene usata per attivare un servizio Apache Axis fittizio, con cui viene scritto un primo file-writer in JSP e poi una webshell di esecuzione comandi sotto /platform-services/axis2-web/. Sul fronte ACN l'alert era nato il 4 giugno come segnalazione di PoC disponibile ed è stato aggiornato il 25 giugno per recepire lo sfruttamento attivo. Vale la pena notare che si tratta del secondo prodotto Cisco a finire nel nostro bollettino in due settimane: nell'edizione precedente avevamo già trattato la CVE-2026-20262 del Catalyst SD-WAN Manager, segno di una pressione costante sugli apparati di rete e comunicazione del vendor.

A doversene preoccupare è chi espone CUCM o CUCM SME con il servizio WebDialer attivo: il componente è disabilitato per impostazione predefinita, fattore che riduce la superficie esposta, ma molte installazioni lo abilitano per le funzionalità di click-to-call. Si tratta di sistemi di centralino diffusi in grandi enti, PA e provider, dove la compromissione apre a intercettazione delle comunicazioni e movimento laterale verso il resto dell'infrastruttura. Non esistono workaround risolutivi oltre alla disabilitazione del servizio: l'unica mitigazione strutturale è l'aggiornamento.

  • Versioni affette: Cisco Unified CM e Unified CM SME, ramo 14 nelle versioni precedenti alla 14SU6 e ramo 15 nelle versioni precedenti alla 15SU5.
  • Azione raccomandata: aggiornare a 14SU6 o 15SU5 (o successive) entro la scadenza KEV del 28 giugno 2026; ove non possibile, disabilitare il servizio WebDialer; verificare i log e il percorso /platform-services/axis2-web/ alla ricerca di servizi Axis e webshell anomali.

Fonti: ACN, Horizon 3, Help net Security