Falha crítica no Cisco Unified CM dá root sem autenticação

Uma vulnerabilidade SSRF no Cisco Unified Communications Manager, rastreada como CVE-2026-20230, está sob exploração ativa. Com CVSS 8.6 e classificação Critical pela própria Cisco, a falha permite que qualquer atacante sem autenticação escreva arquivos no sistema operacional e escale privilégios até root. Os patches foram liberados em 3 de junho, mas a exploração real foi detectada apenas neste final de semana pela inteligência de ameaças Defused.

Como o CVE-2026-20230 funciona

O problema reside no componente WebDialer do Cisco Unified CM e do Cisco Unified CM SME. Quando um atacante envia uma requisição HTTP construída especificamente para esse endpoint, a validação inadequada de entrada permite abusar o protocolo file:// para escrever arquivos arbitrários no sistema operacional subjacente. A cadeia de exploração transforma uma vulnerabilidade SSRF inicial em escrita de arquivos no disco que, combinada com técnicas de escalonamento de privilégios, concede acesso root completo ao dispositivo.

A NVD registra o CVE com vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N. Isso significa que a exploração não exige autenticação nem interação do usuário e pode ser executada inteiramente pela rede. A Cisco atribuiu classificação Critical ao advisory — acima do que o score numérico de 8.6 indica — porque o resultado final da exploração é acesso root sem restrições.

O componente WebDialer é desabilitado por padrão nas instalações do Unified CM. Porém, muitas organizações o habilitam para funcionalidades de click-to-call em integrações com CRMs como Salesforce e Dynamics. Isso significa que a superfície de ataque varia significativamente entre ambientes, mas em empresas que usam comunicação unificada de forma avançada, a probabilidade de estar exposto é alta.

Ataques reais em andamento

A empresa de inteligência de ameaças Defused detectou exploração ativa em honeypots configurados para simular instâncias do Cisco Unified CM. O ataque origina de um único endereço IP e utiliza payloads file:// bem construídos para criar arquivos no dispositivo alvo. No caso observado pela Defused, o script tentativa criar o arquivo /tmp/cve-2026-20230-test.txt — um comportamento típico de fase de reconhecimento, mapeando quais dispositivos estão vulneráveis antes de um ataque mais sofisticado.

A BleepingComputer confirmou o padrão de exploração e rastreou a divulgação técnica feita pela SSD Secure Disclosure após a revelação. Os pesquisadores da SSD Secure demonstraram como obter o hostname do sistema alvo antes de executar o ataque, eliminando a principal barreira de informação necessária para o exploit. Com o código de prova de conceito disponível e documentação técnica completa publicada, é questão de tempo até que grupos de ransomware integrem essa técnica em seus kits de exploração automatizados.

Embora a exploração observada até o momento pareça limitada a reconhecimento, o risco é concreto. Um atacante com capacidade de escrever webshells no sistema pode obter persistência, exfiltrar dados sensíveis de chamadas e usar o servidor como ponto de entrada para a rede interna corporativa.

Risco real no Brasil

O Cisco Unified CM é peça central da infraestrutura de telefonia corporativa de milhares de empresas no Brasil. Grandes bancos, operadoras de telecomunicação e companhias de energia utilizam a plataforma para gerenciar chamadas VoIP, videoconferência e comunicação unificada em larga escala. Um acesso root nessa plataforma oferece controle total sobre as comunicações da organização, possibilidade de interceptação de chamadas em tempo real e pivoteamento para redes internas que muitas vezes não possuem segmentação adequada.

A gravidade é amplificada pela ausência de mitigação alternativa direta. A Cisco confirma em seu advisory oficial que não existem workarounds efetivos. A única recomendação é desabilitar o serviço WebDialer até que o patch seja aplicado — o que pode impactar funcionalidades legítimas que dependem desse componente, como integrações de CRM e dialers automáticos em call centers.

Versões corrigidas disponíveis

A Cisco liberou patches para duas linhas de versão do Unified CM. Para a versão 14, o fix está disponível no release 14SU6. Para a versão 15, o patch chega no 15SU5, previsto para setembro de 2026, ou via COP (Cluster Update Package) específico. Administradores precisam verificar qual release suas instâncias operam e aplicar a atualização correspondente com prioridade máxima. Para ambientes que não podem sofrer downtime, a Cisco oferece opções de patch in-place que reduzem a janela de indisponibilidade.

Verificar o WebDialer

1. Acesse a interface de administração do Cisco Unified CM.
2. Navegue até Cisco Unified Serviceability.
3. Selecione Tools > Control Center – Feature Services.
4. Na seção CTI Services, verifique o status do Cisco WebDialer Web Service.

Se o status estiver como “Started”, o serviço está ativo e o dispositivo está exposto ao CVE-2026-20230.

Desabilitar como mitigação

1. Na mesma interface, acesse Tools > Service Activation.
2. Na seção CTI Services, desmarque Cisco WebDialer Web Service.
3. Salve a configuração e reinicie os serviços afetados se necessário.

Medidas de defesa urgentes

A falha ainda não está catalogada no Known Exploited Vulnerabilities (KEV) da CISA, mas o padrão histórico de inclusões rápidas para vulnerabilidades em infraestrutura crítica sugere que isso pode mudar a qualquer momento. Empresas com obrigações de compliance federal ou que seguem frameworks como CIS Controls e NIST CSF devem tratar esse patch como prioridade imediata.

Além da aplicação do patch, os administradores devem auditar logs de acesso ao componente WebDialer nos últimos 30 dias, buscar indicadores de comprometimento como arquivos inesperados no diretório /tmp/ e implantar honeypots internos para detectar varreduras de reconhecimento. A presença de arquivos como /tmp/cve-2026-20230-test.txt é indicador claro de que o ambiente foi mapeado por atacantes.

Para organizações que ainda operam versões anteriores à 14, a Cisco não forneceu patches. Nesses cenários, a opção viável é migrar para uma versão suportada ou isolar completamente o componente em segmentos de rede com firewall estrito, monitoramento contínuo e regras de egressa limitadas que impeçam o tráfego SSRF.

Leia também: Cisco Unified CM: falha SSRF com PoC dá acesso root | Cisco corrige falha crítica no Unified CM com exploit

Referências

• NVD — CVE-2026-20230
• Cisco Security Advisory — CVE-2026-20230
• BleepingComputer — Cisco Unified CM flaw CVE-2026-20230 now exploited in attacks
• CISA Known Exploited Vulnerabilities Catalog