// HEISE ONLINE — CYBERSECURITY
Angriffe auf Cisco Unified CM beobachtet
Anfang des Monats hat Cisco eine hochriskante Sicherheitslücke in Unified Communications Manager gestopft. Jetzt wird sie attackiert.
Eine Anfang des Monats von Cisco ausgebesserte Schwachstelle in Ciscos Unified Communications Manager ermöglicht Angreifern, Dateien hochzuladen und ihre Rechte dabei auf „root“ auszuweiten. Ein Update steht seitdem bereit. Jetzt haben IT-Forscher Angriffe auf die Sicherheitslücke beobachtet.
Die Analysten von DefusedCyber schreiben auf X, dass sie den Missbrauch der Schwachstelle CVE-2026-20230 am vergangenen Wochenende beobachtet haben. Es handelt sich um eine Server-Side Request Forgery (SSRF), bei der Angreifer Zugriff auf interne, geschützte Netzwerke erhalten. Einige HTTP-Anfragen werden laut Ciscos Mitteilung nicht korrekt geprüft, sodass nicht authentifizierte Angreifer aus dem Netz sogar schreibenden Zugriff auf das Betriebssystem und dabei root-Rechte erlangen können (CVE-2026-20230, CVSS 8.6, Risiko „hoch“). Cisco hat abweichend von der CVSS-Bewertung das Risiko jedoch als „kritisch“ eingeschätzt – offenbar zu Recht.
DefusedCyber schreiben, dass vorheriger Missbrauch nicht bekannt war und dass die CISA die Lücke noch nicht in ihrem „Known Exploited Vulnerabilities“-Katalog auflistet. Zunächst haben die IT-Forscher lediglich eine Quell-IP ausgemacht, von der Attacken mit einem Proof-of-Concept-Exploit erfolgten. Der PoC hat mit „file://“-URLs versucht, Schadcode auf das System zu schreiben. Am Mittwoch hat DefusedCyber auf LinkedIn nachgelegt und berichtet von automatisierten Scans aus dem Tor-Netzwerk, die Webshells auf anfällige Geräte verfrachten.
Die beobachteten Angriffsketten missbrauchen die SSRF im WebDialer, um bösartige Apache-Axis-Dienste zu verteilen. Diese Dienste nutzen sie dann, um einen JSP-File-Writer anzulegen, der in einer zweiten Stufe eine befehlsausführende Shell im Pfad „/platform-services/axis2-web/“ verankert.
Cisco schreibt in der eigenen Sicherheitsmitteilung, dass das Unternehmen von veröffentlichtem Proof-of-Concept-Exploitcode weiß. Eine Aktualisierung um den aktuell beobachteten Missbrauch liegt jedoch noch nicht vor. Weiteren Sicherheitsmeldungen zufolge kursieren bereits seit dem Tag nach der Veröffentlichung des Updates Exploit-Codes, die voll funktionsfähig sind. IT-Verantwortliche sollten daher zügig die Aktualisierung anwenden, sofern sie das noch nicht erledigt haben. Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC) gibt es derzeit leider noch nicht.
Ob Sicherheitslücken, Viren oder Trojaner – alle sicherheitsrelevanten Meldungen gibts bei heise security
Ausführliche Informationen zum Versandverfahren und zu Ihren
Widerrufsmöglichkeiten erhalten Sie in unserer
Datenschutzerklärung.
Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.