Faille SSRF de Cisco Unified CM exploitée pour déposer des webshells (CVE-2026-20230)
Des attaquants ont commencé à exploiter activement une faille critique de falsification de requête côté serveur, non authentifiée, dans Cisco Unified Communications Manager, suivie sous CVE-2026-20230, en se servant du service WebDialer pour écrire des fichiers et déposer des webshells JSP sur des serveurs de téléphonie d'entreprise.
- Victime
- Cisco Unified Communications Manager
Le 24 juin 2026, des chercheurs en sécurité ont alerté sur le fait que des attaquants avaient commencé à exploiter activement CVE-2026-20230, une vulnérabilité critique de falsification de requête côté serveur (SSRF) dans Cisco Unified Communications Manager (Unified CM) et Unified CM Session Management Edition (SME). La faille — due à une validation incorrecte des entrées de certaines requêtes HTTP — permet à un attaquant distant et non authentifié de forcer le serveur à émettre des requêtes forgées, et elle est exploitée pour écrire des fichiers sur le système d'exploitation sous-jacent comme tremplin vers une compromission complète.
Ce qui s'est passé
La vulnérabilité est accessible via le service WebDialer de Cisco, un composant de numérotation en un clic. WebDialer est désactivé par défaut, mais il est couramment activé dans les déploiements de téléphonie d'entreprise en production, exposant ainsi une large base installée. Cisco a classé le problème comme critique malgré un score de base CVSS v3.1 de 8,6.
Après la publication d'un code d'exploitation, l'exploitation a rapidement gagné en intensité. Les chercheurs ont d'abord observé une reconnaissance le week-end depuis une unique adresse IP source envoyant des charges file:// forgées pour écrire des fichiers sur les appareils affectés, avant que l'activité ne bascule vers des balayages automatisés acheminés via Tor déposant des webshells JSP multi-étapes par la chaîne SSRF de WebDialer. La même primitive d'écriture de fichiers peut servir à implanter des artefacts permettant à terme une élévation vers root sur l'hôte.
Impact
Unified CM constitue le cœur de contrôle des appels de nombreux parcs de téléphonie d'entreprise et gouvernementaux ; un webshell sur ce serveur offre à un attaquant un point d'ancrage persistant au sein de l'infrastructure vocale et du réseau environnant. Les observateurs ont averti que le seul correctif peut ne pas suffire à expulser un intrus ayant déjà déposé un webshell : les organisations exposées doivent donc rechercher activement les implants en plus de procéder à la mise à jour.
Remédiation
Les correctifs de Cisco couvrent toutes les versions 14.x antérieures à 14SU6 et toutes les versions 15.x antérieures à 15SU5, avec un correctif intermédiaire Cisco Options Package (COP) disponible pour les déploiements 15.x ne pouvant pas migrer immédiatement vers une mise à jour de service complète. La désactivation de WebDialer là où il n'est pas nécessaire supprime la voie d'exploitation en attendant l'application des correctifs.
Chronologie
Des chercheurs et des honeypots observent l'exploitation active de CVE-2026-20230, avec des balayages automatisés acheminés via Tor utilisant des requêtes SSRF WebDialer pour déposer des webshells JSP sur des serveurs Unified CM.
Sources
- cisco.comhttps://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-cucm-ssrf-cXPnHcW.html
- bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/cisco-unified-cm-sme-flaw-cve-2026-20230-now-exploited-in-attacks/
- securityweek.comhttps://www.securityweek.com/hackers-exploiting-cisco-unified-cm-vulnerability/
- helpnetsecurity.comhttps://www.helpnetsecurity.com/2026/06/24/cisco-unified-cm-flaw-exploited-to-drop-webshells-cve-2026-20230/
- securityaffairs.comhttps://securityaffairs.com/194153/uncategorized/cisco-unified-cm-flaw-cve-2026-20230-actively-exploited-in-the-wild.html