Cisco ha confermato il 1 luglio 2026 che la vulnerabilità SSRF CVE-2026-20230 in Unified Communications Manager è attivamente sfruttata in-the-wild. La PSIRT ha aggiornato l'advisory iniziale del 3 giugno, chiudendo una finestra difensiva drammaticamente breve: tra la circolazione pubblica del proof-of-concept e i primi attacchi osservati sono trascorse circa 48 ore. Il sistema colpito gestisce le comunicazioni vocali aziendali, spesso integrato con directory services e dati HR.
- Cisco ha confermato l'exploitation attiva di CVE-2026-20230 il 1 luglio 2026, con possibile escalation a root nonostante il CVSS 8.6
- La vulnerabilità SSRF (CWE-918) richiede il servizio WebDialer abilitato, disattivato di default ma frequente in deployment enterprise
- Primi attacchi rilevati il 22-23 giugno 2026: sweep automatizzati via Tor con drop di webshell JSP, secondo Defused Cyber
- CISA ha incluso la CVE nel Known Exploited Vulnerabilities catalog il 25 giugno 2026 con scadenza BOD 26-04 fissata al 28 giugno 2026
Da SSRF a webshell: la catena documentata
La vulnerabilità risiede nel componente WebDialer di Cisco Unified Communications Manager, dove una improper input validation su richieste HTTP specifiche consente server-side request forgery. Secondo l'advisory Cisco, un attaccante non autenticato può abusare del flaw per scrivere file arbitrari sul sistema operativo sottostante tramite URI scheme file://.
La fonte ha documentato una catena in tre stadi: la SSRF viene usata per installare un servizio Apache Axis rogue, che a sua volta permette il deploy di un file-writer JSP, culminando in una webshell posizionata in /platform-services/axis2-web/. Cisco ha esplicitamente elevato il Security Impact Rating a Critical nonostante il punteggio CVSS v3.1 di 8.6: la motivazione, riportata testualmente nell'advisory, è che l'exploitation "could result in an attacker elevating privileges to root".
Il servizio WebDialer è disabilitato di default, ma Cisco riconosce che viene frequentemente attivato in ambienti enterprise per abilitare il click-to-dial dai client softphone. Questa condizione rende la superficie di attacco selettiva ma significativa nelle organizzazioni dove il componente è in uso.
"Over the weekend we observed exploitation of CVE-2026-20230 – Cisco Unified CM (CUCM) WebDialer SSRF → root file-write (CVSS 8.6)" — Defused Cyber, citato da SecurityAffairs
La finestra di 48 ore: weaponizzazione post-PoC
La timeline rivela una compressione estrema degli eventi. Cisco ha pubblicato l'advisory iniziale il 3 giugno 2026, con patch disponibile per Release 14 in versione 14SU6. Il PoC exploit è circolato pubblicamente attorno al 22 giugno. Entro il 22-23 giugno, Defused Cyber ha rilevato i primi tentativi di exploitation sui propri honeypot: sweep automatizzati, provenienza anonimizzata via Tor, con pattern coerenti di drop webshell.
SecurityWeek riferisce che l'exploit intelligence firm ha identificato "a single source using an unvetted PoC", indicando un attore iniziale probabilmente unico prima di eventuale proliferazione. LatestHackingNews specifica che i tentativi includevano "automated sweeps dropping webshells, all via Tor". L'intervallo tra disponibilità del PoC e osservazione di attacchi attivi si colloca attorno ai due giorni, una contrazione che supera le capacità di risposta tipiche delle organizzazioni con cicli di change management estesi.
Il posizionamento CISA: KEV e binding operational directive
CISA ha inserito CVE-2026-20230 nel Known Exploited Vulnerabilities catalog il 25 giugno 2026, classificandola con CWE-918. La designazione ha attivato il Binding Operational Directive 26-04, che impone alle agenzie federali del Federal Civilian Executive Branch la remediation entro il 28 giugno 2026. CyberPress riporta che la scadenza era già passata al momento della conferma Cisco dell'exploitation attiva.
Per il settore privato e gli operatori non federali, l'inclusione KEV funge da segnale di priorità elevata indipendente dal mandato regolatorio. Il catalogo CISA è progettato per concentrare le risorse difensive su vulnerabilità con exploitation documentato, riducendo il rumore delle centinaia di CVE mensili.
Stato delle patch e gap di copertura
La situazione di patching presenta una discontinuità tra release. Per Unified CM Release 14, Cisco ha rilasciato il fix completo 14SU6 il 3 giugno 2026, contestualmente alla divulgazione iniziale. Per Release 15, il fix definitivo 15SU5 è previsto per settembre 2026, con una COP (Cisco Option Package) patch intermedia disponibile nel frattempo.
Cisco dichiara esplicitamente che non esistono workarounds che addressano completamente la vulnerabilità. L'unica mitigazione documentata consiste nel disabilitare il servizio WebDialer, operazione che tuttavia nega funzionalità di business in ambienti dove il click-to-dial è operativo. La fonte non specifica la completezza relativa della COP patch intermedia rispetto al fix definitivo 15SU5.
Cosa fare adesso
- Verificare immediatamente se WebDialer è abilitato sui sistemi Cisco Unified CM e valutarne la disabilitazione se non essenziale per operatività
- Aggiornare alle release patched: 14SU6 per Release 14, oppure applicare la COP patch intermedia per Release 15 in attesa di 15SU5
- Ispezire il percorso /platform-services/axis2-web/ e i log del componente WebDialer per indicatori di compromissione precedente
- Monitorare il CISA KEV catalog per eventuali aggiornamenti sulla scadenza BOD 26-04 o estensioni per agenzie federali
Lettura: la voce come perimetro, la voce come rischio
La convergenza di fattori in questa vulnerabilità — piattaforma voice centrale, componente spesso abilitato per comodità utente, escalation a root, finestra di weaponizzazione compressa — disegna un profilo di rischio che i team di sicurezza sottovalutano sistematicamente. Le infrastrutture di unified communications non attraggono la stessa attenzione degli endpoint esposti a Internet o dei server web pubblici, ma spesso dispongono di privilegi elevati e accesso a directory aziendali.
La scelta di Defused Cyber di pubblicare osservazioni in tempo reale su X, citata da SecurityAffairs, ha accelerato la consapevolezza comunitaria ma non ha invertito la dinamica: un attore ha dispiegato exploit automatizzato via Tor prima ancora che Cisco confermasse ufficialmente l'attività. L'assenza di attribuzione a gruppo APT noto, segnalata esplicitamente dalle fonti come unknown, non indebolisce la gravità: l'anonymizzazione via Tor e i pattern di sweep automatizzato sono compatibili sia con operatori opportunistici che con access brokers in fase di ricognizione.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.securityweek.com/cisco-confirms-in-the-wild-exploitation-of-unified-cm-vulnerability/
- https://securityaffairs.com/194153/uncategorized/cisco-unified-cm-flaw-cve-2026-20230-actively-exploited-in-the-wild.html
- https://latesthackingnews.com/2026/06/25/cisco-unified-cm-ssrf-exploited/
- https://cyberpress.org/cisa-cisco-unified-communications-manager-ssrf/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://unit42.paloaltonetworks.com/cl-sta-1062-tinyrct-backdoor/
- https://unit42.paloaltonetworks.com/active-exploitation-of-pan-os-cve-2026-0257/