Kerentanan SSRF dengan tingkat keparahan tinggi, yang dilacak sebagai CVE-2026-20230, di Cisco Unified Communications Manager Server kini sedang dieksploitasi dalam serangan.
Cisco merilis pembaruan keamanan untuk kelemahan CVE-2026-20230 pada tanggal 3 Juni, memperingatkan bahwa eksploitasi dapat memberikan hak akses root pada perangkat kepada penyerang.
“Kerentanan pada Cisco Unified Communications Manager (Unified CM) dan Cisco Unified Communications Manager Session Management Edition (Unified CM SME) dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi melakukan serangan pemalsuan permintaan sisi server (SSRF) melalui perangkat yang terpengaruh,” memperingatkan Cisco.
“Kerentanan ini disebabkan oleh validasi input yang tidak tepat untuk permintaan HTTP tertentu. Seorang penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan permintaan HTTP yang dibuat ke perangkat yang terpengaruh. Eksploitasi yang berhasil dapat memungkinkan penyerang untuk menulis file ke sistem operasi yang mendasarinya yang kemudian dapat digunakan untuk meningkatkan ke akar.”
Cacat tersebut diungkapkan kepada Cisco oleh SSD Secure, yang tidak membagikan rincian teknis apa pun pada saat itu.
Saat ini, perusahaan intelijen ancaman Defused memperingatkan bahwa kelemahan tersebut kini dieksploitasi secara aktif dalam serangan.
“Selama akhir pekan kami mengamati eksploitasi CVE-2026-20230 – Cisco Unified CM (CUCM) WebDialer SSRF → penulisan file root (CVSS 8.6) Tidak ada eksploitasi yang tercatat sebelumnya, dan belum terdaftar di CISA KEV,” Dijinakkan diperingatkan pada X.
Defused mengatakan serangan tersebut berasal dari satu alamat IP dan menggunakan muatan file:// yang dibuat dengan benar untuk membuat file di perangkat.
Sumber: Dijinakkan
Meskipun kelemahan ini dapat dieksploitasi dalam serangan untuk menghapus webshell dan mendapatkan hak akses root, PoC yang diamati oleh Defused tampaknya dirancang untuk mengidentifikasi perangkat yang rentan dengan mencoba menulis file teks bernama ‘/tmp/cve-2026-20230-test.txt’ ke perangkat tersebut.
Setelah eksploitasi terungkap, SSD Secure menerbitkan a penulisan teknis kelemahan tersebut menjelaskan cara kerja kerentanan dan membagikan eksploitasi bukti konsep.
Para peneliti menemukan bahwa penyerang yang tidak diautentikasi dapat menyalahgunakan penanganan komponen Webdialer terhadap URL yang disediakan pengguna untuk memaksa aplikasi menulis file sewenang-wenang ke sistem operasi menggunakan file:// URI.
Dengan mengontrol jalur file dan konten yang ditulis ke disk, penyerang dapat mengeksploitasi bug untuk mencapai eksekusi kode jarak jauh dan pada akhirnya mendapatkan hak akses root pada perangkat yang rentan.
SSD Secure mencatat bahwa eksploitasi mengharuskan penyerang untuk terlebih dahulu mendapatkan nama host sistem target sebelum melakukan serangan penulisan file. Namun, para peneliti menunjukkan bagaimana informasi tersebut dapat diambil dari perangkat sebelum dieksploitasi.
Meskipun eksploitasi yang terjadi saat ini tampaknya bersifat pengintaian, setelah kelemahan tersebut terungkap sepenuhnya, kemungkinan besar kita akan melihat lebih banyak pelaku ancaman yang menargetkan server-server ini.
BleepingComputer menghubungi Cisco untuk menanyakan apakah mereka juga melihat kelemahan yang dieksploitasi dalam serangan dan apakah ada IOC yang dapat dibagikan kepada pembela HAM, dan akan memperbarui artikel tersebut jika kami menerima tanggapan.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
