A Cisco lançou patches de emergência para uma vulnerabilidade crítica de SSRF (CVE-2026-20230) no Unified Communications Manager que permite atacantes não autenticados gravarem arquivos no servidor e escalarem para acesso root. O código de prova de conceito já circula publicamente, elevando o risco de exploração ativa em redes corporativas de todo o mundo.
O que aconteceu
A Cisco divulgou na última quarta-feira, 4 de junho de 2026, um advisory de segurança classificado como Crítico para uma falha de Server-Side Request Forgery (SSRF) no Cisco Unified Communications Manager (Unified CM) e no Unified CM Session Management Edition (SME). A vulnerabilidade, rastreada como CVE-2026-20230, foi reportada por um pesquisador independente em colaboração com a SSD Secure Disclosure.
O problema reside na validação inadequada de entradas em requisições HTTP específicas. Um atacante remoto, sem qualquer autenticação prévia, pode enviar uma requisição HTTP manipulada ao dispositivo afetado. A exploração bem-sucedida permite a gravação de arquivos arbitrários no sistema operacional subjacente — arquivos que, posteriormente, podem ser utilizados para escalar privilégios até o nível root, o mais alto do sistema.
Como funciona o ataque
A vulnerabilidade está classificada sob o CWE-918 (Server-Side Request Forgery) e opera em duas etapas. Primeiro, o atacante explora a falha de SSRF no serviço WebDialer para realizar uma gravação arbitrária de arquivos no sistema operacional. Depois, utiliza esses arquivos como vetor de escalada de privilégios até obter controle total com permissões de root.
Apesar de o score CVSS v3.1 base ser 8.6 — tecnicamente classificado como “High” —, a Cisco elevou o Security Impact Rating (SIR) para Critical. A justificativa é direta: o estado final da exploração é o acesso root completo ao servidor, o que representa comprometimento total do sistema de telefonia corporativa.
O vetor de ataque é exemplificado pela string CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N, indicando que a exploração é remota (via rede), de baixa complexidade, sem necessidade de privilégios ou interação do utilizador, e com impacto alto na integridade do sistema.
Vetor de exploração detalhado
A cadeia de ataque documentada pela pesquisa segue um padrão claro e preocupante:
- Etapa 1 — SSRF inicial: o atacante envia uma requisição HTTP manipulada ao serviço WebDialer, que não valida corretamente a entrada. Isso permite ao atacante forjar requisições a partir do servidor.
- Etapa 2 — Gravação arbitrária: a exploração do SSRF resulta na capacidade de gravar arquivos no sistema operacional subjacente ao Unified CM.
- Etapa 3 — Escalada para root: os arquivos plantados são utilizados como mecanismo de escalada de privilégios, concedendo ao atacante acesso root ao servidor.
Este padrão “SSRF-to-Root” é particularmente perigoso porque combina uma vulnerabilidade de acesso inicial relativamente comum com um impacto final devastador. O facto de ser totalmente não autenticado elimina uma das principais barreiras defensivas tradicionais.
Impacto nas organizações
O Cisco Unified Communications Manager é o sistema central de controlo de telefonia IP utilizado por milhares de empresas em todo o mundo. Um comprometimento root neste sistema significa acesso total às comunicações de voz, configurações de roteamento de chamadas, e potencialmente a toda a infraestrutura de rede associada.
De acordo com a CISA, nas últimas cinco anos 91 vulnerabilidades da Cisco foram identificadas como exploradas ativamente, seis das quais associadas a operações de ransomware. O Unified CM, em particular, tem sido uma fonte recorrente de problemas graves de segurança.
Há uma condição atenuante importante: a vulnerabilidade só é explorável quando o serviço WebDialer está ativado. Este serviço vem desativado por padrão, mas diversas implantações corporativas o ativam para funcionalidades de discagem web e integração com diretórios.
O seguinte quadro resume os pontos críticos da vulnerabilidade:
| Parâmetro | Detalhe |
|---|---|
| Identificador | CVE-2026-20230 |
| Tipo | Server-Side Request Forgery (CWE-918) |
| CVSS v3.1 | 8.6 (High) / SIR: Critical |
| Autenticação | Não requerida |
| Complexidade | Baixa |
| Impacto final | Acesso root ao servidor |
| Condição prévia | WebDialer habilitado (desativado por padrão) |
| PoC público | Sim |
| Exploração ativa | Não confirmada (até o momento) |
| Correção — Release 14 | 14SU6 |
| Correção — Release 15 | 15SU5 (setembro 2026) ou COP interim |
Contexto histórico do Unified CM
Esta não é a primeira vez que o Unified CM enfrenta vulnerabilidades graves. Em julho de 2025, a Cisco removeu uma conta root SSH hard-coded (CVE-2025-20309, CVSS 10.0) deixada no sistema desde o desenvolvimento. Em janeiro de 2026, a empresa corrigiu uma vulnerabilidade de execução remota de código não autenticada (CVE-2026-20045) que já estava a ser explorada como zero-day — suficientemente grave para a CISA adicioná-la ao seu catálogo de vulnerabilidades conhecidas como exploradas.
Em 2024, outra falha (CVE-2024-20253) permitiu que atacantes obtivessem acesso root a sistemas vulneráveis. O padrão é claro: o Unified CM tem sido consistentemente um vetor de ataque de alto impacto, e a disponibilidade de código PoC para esta nova vulnerabilidade reduz significativamente o tempo antes que ameaças se materializem.
O que fazer agora
As organizações que utilizam Cisco Unified CM devem tomar medidas imediatas para avaliar e mitigar a exposição:
1. Verificar se o WebDialer está ativo. Aceder ao Cisco Unified CM Administration, navegar para Cisco Unified Serviceability, e em Tools > Control Center – Feature Services, verificar o estado do “Cisco WebDialer Web Service” na seção CTI Services. Se o estado for “Started”, o sistema está vulnerável.
2. Aplicar o patch imediatamente. Para o release 14, atualizar para 14SU6. Para o release 15, a correção completa (15SU5) está prevista apenas para setembro de 2026 — utilizar o patch COP interim disponível enquanto a atualização definitiva não é lançada.
3. Desativar o WebDialer como mitigação temporária. Se não for possível aplicar o patch imediatamente, desativar o serviço WebDialer: navegar para Cisco Unified Serviceability > Tools > Service Activation, desmarcar “Cisco WebDialer Web Service” na seção CTI Services e guardar.
4. Restringir acesso à interface de gestão. Limitar o acesso ao Unified CM por segmentação de rede e firewalls, impedindo que atacantes possam alcançar o serviço a partir de redes não confiáveis.
5. Monitorizar sinais de comprometimento. Ficar atento a requisições HTTP suspeitas originadas dos servidores Unified CM, criação de arquivos não autorizados no sistema operativo, e sinais de escalada de privilégios.
Fontes
- Cisco Security Advisory — Unified CM Server-Side Request Forgery Vulnerability (advisory oficial, junho 2026)
- The Hacker News — Cisco Patches CVE-2026-20230 in Unified CM as Exploit Code Goes Public (4 de junho de 2026)
- BleepingComputer — Cisco warns of critical Unified CM flaw with PoC exploit code (4 de junho de 2026)
- SecurityWeek — Cisco Warns of Available PoC for Critical Unified CM Vulnerability (4 de junho de 2026)