Cisco Unified CM: Hochriskante SSRF-Lücke CVE-2026-20230 wird aktiv ausgenutzt

Die Sicherheitslücke CVE-2026-20230 in Cisco Unified Communications Manager (Unified CM) ist keine theoretische Gefahr mehr: Angreifer nutzen die Schwachstelle bereits aktiv aus, um unbefugten Zugriff zu erlangen. Betroffen sind Systeme, die nicht mit den aktuellen Patches von Cisco aktualisiert wurden. Die Lücke ermöglicht es externen Angreifern ohne Authentifizierung, über manipulierte HTTP-Anfragen eine Server-Side Request Forgery (SSRF) auszulösen. Im schlimmsten Fall können sie Dateien mit Root-Rechten auf dem Betriebssystem schreiben und damit die Kontrolle über das Gerät übernehmen. Für Unternehmen, die Unified CM in ihren Kommunikationsinfrastrukturen einsetzen, bedeutet dies akuten Handlungsbedarf.

Was genau ist CVE-2026-20230 und warum ist sie so gefährlich?

CVE-2026-20230 ist eine Server-Side Request Forgery (SSRF)-Schwachstelle im Cisco Unified Communications Manager und dessen Session Management Edition. Die Lücke entsteht durch eine fehlerhafte Eingabevalidierung bei bestimmten HTTP-Anfragen. Ein Angreifer kann durch das Senden eines manipulierten HTTP-Requests an das betroffene Gerät unauthentifizierten Zugriff erlangen. Die Schwachstelle erhält einen CVSS-Score von 8,6 (hoch) und ermöglicht es dem Angreifer, Dateien mit Root-Rechten auf dem zugrundeliegenden Betriebssystem zu schreiben. Diese Dateien können später genutzt werden, um die Berechtigungen zu eskalieren und vollständige Kontrolle über das System zu erlangen.

Die Gefahr liegt insbesondere in der Kombination aus fehlender Authentifizierung und der Möglichkeit, beliebige Dateien zu schreiben. Typische Angriffsvektoren umfassen das Platzieren von Webshells, das Überschreiben kritischer Systemdateien oder das Erstellen von Hintertüren. Laut SSD Secure, die die Schwachstelle ursprünglich entdeckte, ist die Lücke besonders tückisch, weil sie ohne Benutzerinteraktion auskommt und über das Netzwerk aus der Ferne ausgenutzt werden kann. Die Forscher zeigten in einem Proof-of-Concept, wie ein Angreifer durch die Ausnutzung der Webdialer-Komponente des Unified CM beliebige Dateien über file://-URIs auf das System schreiben kann.

Aktive Ausnutzung: Angriffe bereits im Gange

Threat-Intelligence-Anbieter Defused warnte kürzlich auf X (ehemals Twitter), dass CVE-2026-20230 nun aktiv ausgenutzt wird. Die Angriffe stammen laut Defused von einer einzigen IP-Adresse und nutzen korrekt konstruierte file://-Payloads, um Dateien auf den Zielsystemen zu erstellen. Interessanterweise scheint der beobachtete Proof-of-Concept zunächst darauf abzuzielen, verwundbare Systeme zu identifizieren, indem eine Testdatei mit dem Namen '/tmp/cve-2026-20230-test.txt' geschrieben wird. Dies deutet darauf hin, dass die Angreifer zunächst eine Bestandsaufnahme der verwundbaren Systeme vornehmen, bevor sie gezielte Angriffe starten.

Die aktive Ausnutzung dieser Lücke ist besonders besorgniserregend, da es sich um eine Zero-Day-Lücke handelt, die bisher nicht in der CISA Known Exploited Vulnerabilities (KEV)-Liste aufgeführt war. Das bedeutet, dass viele Unternehmen möglicherweise noch keine Notfallmaßnahmen ergriffen haben, obwohl die Gefahr bereits real ist. Die Tatsache, dass die Angriffe von einer einzigen Quelle auszugehen scheinen, könnte darauf hindeuten, dass es sich um eine gezielte Kampagne handelt, möglicherweise im Zusammenhang mit organisierter Cyberkriminalität oder staatlich unterstützten Akteuren.

Betroffene Systeme und Angriffsvektoren

Die Schwachstelle betrifft Cisco Unified Communications Manager (Unified CM) und Cisco Unified Communications Manager Session Management Edition (Unified CM SME). Beide Systeme sind zentrale Komponenten in Unternehmenskommunikationsinfrastrukturen, insbesondere in Umgebungen, die VoIP, Unified Communications und Collaboration-Lösungen nutzen. Da Unified CM oft mit hoher Berechtigung im Netzwerk läuft, ist die Ausnutzung dieser Lücke besonders kritisch.

Die Angriffsvektoren sind vielfältig: Ein Angreifer könnte die Lücke nutzen, um Webshells zu platzieren, die es ihm ermöglichen, weitere Befehle auf dem System auszuführen. Alternativ könnte er kritische Systemdateien überschreiben oder persistente Hintertüren einrichten, die auch nach einem Neustart des Systems aktiv bleiben. Die Möglichkeit, Dateien mit Root-Rechten zu schreiben, macht es zudem möglich, die Integrität des gesamten Systems zu kompromittieren. Besonders gefährdet sind Systeme, die direkt aus dem Internet erreichbar sind oder über unsichere Netzwerksegmente angreifbar sind.

Cisco reagiert – aber nicht alle Unternehmen sind geschützt

Cisco veröffentlichte bereits am 3. Juni Sicherheitsupdates für die betroffenen Produkte und warnte vor der potenziellen Gefahr. In einer offiziellen Stellungnahme hieß es, dass die Lücke durch eine unzureichende Eingabevalidierung bei bestimmten HTTP-Anfragen entsteht. Ein erfolgreicher Angriff könnte es Angreifern ermöglichen, Dateien auf dem Betriebssystem zu schreiben, die später für eine Rechteausweitung genutzt werden könnten. Cisco betonte, dass die Installation der verfügbaren Patches die einzige wirksame Maßnahme gegen diese Schwachstelle sei.

Trotz der dringenden Warnungen ist davon auszugehen, dass nicht alle Unternehmen die Updates bereits installiert haben. Gerade in großen Unternehmensnetzwerken kann die Patch-Verteilung zeitaufwendig sein, insbesondere wenn mehrere Standorte oder internationale Niederlassungen betroffen sind. Zudem könnten einige Unternehmen die Dringlichkeit der Situation unterschätzen, insbesondere wenn Unified CM nicht direkt aus dem Internet erreichbar ist. Allerdings zeigt die aktive Ausnutzung der Lücke, dass Angreifer auch interne Netzwerke infiltrieren können, wenn ein System erst einmal kompromittiert ist.

Technische Details: Wie funktioniert die Ausnutzung?

Laut der technischen Analyse von SSD Secure nutzt die Lücke die Webdialer-Komponente des Unified CM aus. Diese Komponente ist normalerweise für die Integration von Telefonie-Funktionen in Webanwendungen zuständig. Ein Angreifer kann jedoch manipulierte file://-URIs in HTTP-Anfragen einbetten, die das System dazu veranlassen, Dateien an beliebige Speicherorte zu schreiben. Durch die Kontrolle über den Dateipfad und den Inhalt der geschriebenen Dateien kann der Angreifer beliebigen Code ausführen.

Die Forscher zeigten in ihrem Proof-of-Concept, wie ein Angreifer eine Testdatei mit dem Namen '/tmp/cve-2026-20230-test.txt' auf dem System platzieren kann. Diese Datei dient als Indikator dafür, ob das System verwundbar ist. In einem realen Angriffsszenario könnte der Angreifer stattdessen eine Webshell oder ein Skript platzieren, das weitere Angriffe ermöglicht. Die Möglichkeit, Dateien mit Root-Rechten zu schreiben, ist besonders gefährlich, da sie es dem Angreifer ermöglicht, die volle Kontrolle über das System zu erlangen.

Empfohlene Maßnahmen für betroffene Unternehmen

Unternehmen, die Cisco Unified Communications Manager einsetzen, sollten umgehend prüfen, ob ihre Systeme von der Schwachstelle betroffen sind und ob die verfügbaren Patches installiert wurden. Cisco stellt die notwendigen Updates über den Cisco Security Advisories-Service bereit. Neben der Installation der Patches sollten Unternehmen auch folgende Maßnahmen ergreifen:

1. Sofortige Patch-Verteilung: Alle betroffenen Systeme müssen umgehend mit den aktuellen Patches von Cisco aktualisiert werden. Dies gilt insbesondere für Systeme, die direkt aus dem Internet erreichbar sind oder in sensiblen Netzwerksegmenten betrieben werden.

2. Überprüfung der Netzwerkkonfiguration: Unternehmen sollten sicherstellen, dass Unified CM-Systeme nicht unnötig aus dem Internet erreichbar sind. Firewalls und Netzwerksegmentierung können helfen, den Angriffsvektor zu minimieren.

3. Monitoring und Erkennung: Da die Lücke bereits aktiv ausgenutzt wird, sollten Unternehmen ihre Systeme auf Anzeichen von Kompromittierung überprüfen. Besonders verdächtig sind unerwartete Dateien im /tmp-Verzeichnis oder ungewöhnliche Netzwerkaktivitäten.

4. Notfallplanung: Für den Fall einer erfolgreichen Ausnutzung sollten Unternehmen Notfallpläne erstellen, die Schritte zur Isolierung betroffener Systeme, zur Wiederherstellung aus Backups und zur forensischen Analyse umfassen.

5. Sensibilisierung der Mitarbeiter: Auch wenn die Lücke keine direkte Benutzerinteraktion erfordert, sollten Mitarbeiter für die Risiken von Phishing und anderen Social-Engineering-Angriffen sensibilisiert werden, die im Zusammenhang mit dieser Schwachstelle stehen könnten.

Langfristige Risiken und Konsequenzen

Die aktive Ausnutzung von CVE-2026-20230 unterstreicht die Notwendigkeit einer proaktiven Sicherheitsstrategie. Unternehmen, die die Lücke nicht rechtzeitig schließen, riskieren nicht nur die Kompromittierung einzelner Systeme, sondern auch die Infektion ganzer Netzwerke. Da Unified CM oft mit hohen Berechtigungen im Netzwerk läuft, könnte ein erfolgreicher Angriff weitreichende Folgen haben, einschließlich Datenverlust, Erpressung oder Spionage.

Zudem könnte die Ausnutzung dieser Lücke als Blaupause für zukünftige Angriffe dienen. Wenn es Angreifern gelingt, eine zuverlässige Methode zur Ausnutzung von SSRF-Lücken in Unified Communications-Lösungen zu etablieren, könnten ähnliche Schwachstellen in anderen Produkten ebenfalls ins Visier geraten. Für Unternehmen bedeutet dies, dass sie nicht nur kurzfristige Maßnahmen ergreifen müssen, sondern auch langfristige Strategien zur Absicherung ihrer Kommunikationsinfrastrukturen entwickeln sollten.

Fazit: Handeln Sie jetzt, bevor es zu spät ist

Die aktive Ausnutzung von CVE-2026-20230 in Cisco Unified Communications Manager ist ein Weckruf für alle Unternehmen, die Unified CM in ihrer Infrastruktur einsetzen. Die Schwachstelle ermöglicht unauthentifizierten Remote-Zugriff und Root-Rechte, was sie zu einer der gefährlichsten Lücken der letzten Zeit macht. Da Angriffe bereits im Gange sind, gibt es keine Zeit für Verzögerungen: Unternehmen müssen umgehend prüfen, ob ihre Systeme betroffen sind, und die verfügbaren Patches installieren.

Neben der technischen Absicherung sollten Unternehmen auch ihre Netzwerkarchitektur überprüfen und sicherstellen, dass Unified CM-Systeme nicht unnötig exponiert sind. Da die Lücke bereits aktiv ausgenutzt wird, ist es zudem ratsam, die Systeme auf Anzeichen von Kompromittierung zu überwachen und Notfallpläne zu aktivieren. Die Zeit zum Handeln ist jetzt – bevor Angreifer die Kontrolle über kritische Kommunikationsinfrastrukturen übernehmen.