思科UnifiedCM远程代码执行漏洞随概念验证(PoC)代码公开而遭在野利用

admin 2026-07-02 05:03:54 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 思科UnifiedCM存在远程代码执行漏洞CVE-2026-20230,CVSS评分8.6,攻击者可获root权限。在野利用始于6月21日,PoC已公开,攻击门槛降低。漏洞源于WebDialer服务SSRF,影响14SU6及15SU5之前版本。思科已发布补丁,建议立即升级或禁用WebDialer,并排查webshell入侵迹象。 综合评分: 86 文章分类: 漏洞分析,应急响应,威胁情报,安全工具,漏洞预警


cover_image

思科 Unified CM 远程代码执行漏洞随概念验证(PoC)代码公开而遭在野利用

sec随谈 sec随谈

sec随谈

2026年6月29日 14:16 北京

在小说阅读器读本章

去阅读

摘要

攻击者正在实际攻击中利用思科 Unified CM 的一个远程代码执行(RCE)漏洞。该漏洞编号为 CVE-2026-20230,CVSS 评分为 8.6。研究人员现已公开完整的技术细节和概念验证(PoC)利用代码。

这个思科 Unified CM RCE 漏洞为何重要

Unified CM 支撑着全球企业的语音和视频系统。一旦攻击成功,入侵者即可获得 root(最高权限)访问权。思科将其现实危害评定为”严重(Critical)”,高于基础评分所反映的程度。该平台还保存着呼叫路由表和用户目录。因此,一台被攻陷的服务器就可能暴露整个网络的核心。

在野利用情况

利用活动始于 2026 年 6 月 21 日至 22 日的那个周末。威胁情报公司 Defused 最先在其蜜罐(honeypot)上捕捉到这些攻击。早期活动看起来像是侦察行为——写入一个无害的测试文件。到 6 月 24 日,研究人员报告出现了经由 Tor 网络的自动化 webshell 投放。随后,CISA(美国网络安全和基础设施安全局)于 6 月 25 日将该漏洞列入其”已知被利用漏洞(Known Exploited Vulnerabilities)”目录。值得注意的是,截至当时,思科自己的安全公告尚未确认该漏洞已在野遭到滥用。

公开的概念验证(PoC)

报告该漏洞的 SSD Secure Disclosure 发布了一份完整的技术分析报告。该报告记录了从 SSRF(服务端请求伪造)到 RCE 的完整攻击链,并附有可用代码。因此,攻击门槛已大幅降低。预计现在会有更多威胁行为者将矛头对准暴露在外的服务器。

攻击原理

该漏洞源于 WebDialer 服务中不当的输入验证。未经身份验证的攻击者发送一个精心构造的 HTTP 请求。该请求会在设备上触发服务端请求伪造(SSRF)。随后攻击者向操作系统写入任意文件,进而植入 webshell 并以 root 权限执行命令。需要注意的是,攻击的前提是 WebDialer 处于启用状态,而该服务默认是关闭的。

受影响版本

该漏洞影响两个发布分支(release train)上的 Unified CM 及 Unified CM SME。Release 14 中 14SU6 之前的版本仍存在漏洞。Release 15 中 15SU5 之前的版本同样面临风险。披露报告点名 build 15.0.1.13901-2 为受影响版本。

补丁与缓解措施

思科已于 2026 年 6 月 3 日修复该漏洞。管理员应立即升级到 14SU6。在 15SU5 于 9 月发布之前,可使用一个临时 COP 补丁来覆盖 Release 15。在无法及时打补丁的情况下,可禁用 WebDialer 以减少暴露面。请查阅思科的安全公告以获取已修复的版本号。有一点警告尤其突出:打补丁并不能清除攻击者此前已经植入的 webshell。因此,务必对每一台暴露在外的服务器进行排查,寻找是否已被入侵的迹象。

参考链接:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:sec随谈 sec随谈 sec随谈《思科 Unified CM 远程代码执行漏洞随概念验证(PoC)代码公开而遭在野利用》

ClaudeCode后门事件分析 网络安全文章

ClaudeCode后门事件分析

文章总结: 文档分析ClaudeCode客户端存在针对性检测机制,通过硬编码判断系统时区是否为北京时间或乌鲁木齐时间,并检查代理域名是否命中包含147条域名和1
评论:0   参与:  0