O Diário do Analista
Vol. 2 (abr. 2026)  |  Pp. 185–186  |  ISSN 3086-6103

Alerta: SSRF no CUCM Cisco explorada em menos de 24 horas

Atacantes passaram a explorar ativamente uma falha crítica no gerenciador de comunicações unificado da Cisco (CUCM) para ganhar privilégios de root em sistemas vulneráveis em menos de 24 horas após a divulgação da vulnerabilidade. A vulnerabilidade foi exposta por pesquisadores do SDD Secure Disclosure [1], sendo divulgado tanto a cadeia de exploit da vulnerabilidade quanto um proof-of-concept desta.


No que se consiste a vulnerabilidade

A vulnerabilidade é baseada numa falha de validação de input a qual permite um atacante remoto não autorizado falsificar requests server side (SSRF) contra dispositivos vulneráveis, possibilitando, dessa forma, escalonamento de privilégios. Os softwares afetados são deploys do Cisco Unified CM ou do Unified CM SME em que o serviço de WebDialer está ativo – o qual tem como função permitir chamadas telefônicas Click-To-Dial (C2D) via browser. O serviço é, porém, desabilitado por padrão.

A vulnerabilidade foi catalogada como CVE-2026-20230 [2], sendo corrigida oficialmente em versões posteriores ao dia 3 de junho deste ano – dois mil e vinte e seis. Vale destacar que a falha é dotada de um CVSS de 8.6, sendo considerada pela própria CISCO como uma “falha crítica”.

O gerenciador de comunicação unificado CISCO é utilizado para gerenciamento conjunto de serviços de áudio, vídeo e mensagens, sendo, de acordo com dados revelados pelos proprietários, utilizado por mais de 30 milhões de usuários globalmente. Este tipo de vulnerabilidade, visto que garante a escalação de privilégios via SSRF e permite que sejam feitos requests HTTP arbitrários interna e externamente, pode apresentar sério risco para corporações que a utilizam, agindo como um “caminho” para outras plataformas internas.


Como a vulnerabilidade é explorada

Como já citado anteriormente, ambas uma PoC e a cadeia de exploração da vulnerabilidade foram divulgadas, evidenciando objetivamente como a vulnerabilidade pode ser abusada por indivíduos mal intencionados.

A cadeia de ataque se inicia com um request HTTP para o serviço de WebDialer,  fazendo com que o CUCM interaja com serviços internos não normalmente expostos externamente, incluindo um serviço Apache Axis SOAP – utilizado para comunicação inter aplicações. O atacante então escreve um arquivo malicioso JSP – JavaServer Page – em um diretório Web Tomcat CUCM utilizando uma definição de serviço Axis maliciosa. O JSP é então utilizado para lançar outro shell Web no mesmo local, permitindo, desta maneira, que  o atacante utilize de execução remota de código e eventual escalação de privilégios.

Num relatório semanal, pesquisadores da SDD Secure Disclosure [1] disseram ter detectado ataques almejando a vulnerabilidade em seus sistemas reserva CUCM em menos de vinte e quatro horas após a divulgação da PoC. Fora notada uma similaridade de alto grau entre os ataques reais e a prova de conceito, possivelmente indicando que a cadeia de exploração real se inspirou grandemente no conteúdo exposto publicamente pelo grupo de pesquisa.


Prevenção/Mitigação da vulnerabilidade

Organizações as quais utilizam do CUCM e ainda não corrigiram a CVE-2026-20230 devem assumir que já foram escaneados, diz a CISCO. É recomendado, de imediato, implementar as mitigações da CISCO para a vulnerabilidade ou desabilitar o WebDialer caso não seja necessário.


Referências

[1] https://ssd-disclosure.com/cisco-unified-communications-manager-arbitrary-file-write-to-rce/

[2] https://nvd.nist.gov/vuln/detail/CVE-2026-20230

Tags: , , , , .

Categorias: Cisco, CVE, http/2, Network, Patches, Remote Attack, Vulnerabilidade.