Cisco mengonfirmasi bahwa penyerang kini mengeksploitasi kerentanan Unified Communications Manager (Unified CM) yang ditambal pada awal Juni.
CM Terpadu (sebelumnya dikenal sebagai Cisco CallManager) adalah sistem kontrol pusat untuk sistem telepon IP Cisco, menangani perutean panggilan, manajemen perangkat, dan fitur telepon.
Pelaku ancaman tanpa hak istimewa dapat mengeksploitasi kerentanan (CVE-2026-20230) dari jarak jauh dalam serangan pemalsuan permintaan sisi server (SSRF) dengan kompleksitas rendah dengan mengirimkan permintaan HTTP yang dibuat.
Cisco mengatakan pada 3 Juni saat itu merilis patch keamanan untuk mengatasi masalah ini, Tim Respons Insiden Keamanan Produk (PSIRT) mengetahui kode eksploitasi bukti konsep yang tersedia untuk umum untuk CVE-2026-20230 tetapi tidak memiliki bukti eksploitasi aktif.
Namun, kira-kira tiga minggu kemudian, pada tanggal 22 Juni, firma intelijen ancaman Defused mengungkapkan bahwa ada penyerang telah mulai mengeksploitasi kelemahan tersebut menggunakan file:// payload yang dibuat dengan benar untuk membuat file pada perangkat yang ditargetkan.

Suatu hari kemudian, SSD Secure juga menerbitkan a penulisan teknis yang mencakup eksploitasi bukti konsep dan menjelaskan cara kerja kerentanan.
BleepingComputer menghubungi Cisco pada saat itu untuk menanyakan apakah mereka juga melihat kelemahan yang dieksploitasi secara aktif dalam serangan dan apakah mereka dapat membagikan IOC apa pun kepada pembela HAM, namun kami belum menerima tanggapan.
Perusahaan akhirnya mengkonfirmasi pada hari Rabu ini bahwa penyerang sekarang mengeksploitasi CVE-2026-20230 dan mendesak pelanggan untuk mengamankan sistem mereka dari eksploitasi yang sedang berlangsung.
“Cisco PSIRT menyadari bahwa kode eksploitasi bukti konsep tersedia untuk kerentanan yang dijelaskan dalam panduan ini,” Catatan Cisco dalam pembaruan pada nasihat asli.
“Pada bulan Juni 2026, Cisco PSIRT menyadari adanya eksploitasi aktif terhadap kerentanan ini. Cisco terus menyarankan agar pelanggan melakukan upgrade ke rilis perangkat lunak tetap untuk memulihkan kerentanan ini.”
Cisco juga telah membagikan langkah-langkah mitigasi untuk admin dan tim keamanan yang tidak dapat segera menginstal Cisco Unified CM versi 14SU6 atau 15SU5 (Sep 2026 atau COP), menyarankan mereka untuk menonaktifkan layanan WebDialer yang rentan hingga patch diterapkan untuk memblokir serangan CVE-2026-20230 yang masuk.
Pengawas keamanan internet Shadowserver sedang melacak lebih dari 200 instans Cisco Unified CM terekspos secara online, sebagian besar di Asia dan Amerika Utara, namun tidak ada rincian mengenai berapa banyak yang telah diamankan dari serangan CVE-2026-20230 yang sedang berlangsung.

Dalam beberapa tahun terakhir, Cisco juga telah menambal dua kelemahan CM Terpadu (CVE-2024-20253 Dan CVE-2025-20309) yang memungkinkan pelaku ancaman mendapatkan hak akses root dan kelemahan CM Terpadu lainnya (CVE-2026-20045) yang telah secara aktif dieksploitasi sebagai zero-day untuk mendapatkan eksekusi kode jarak jauh.
Badan Keamanan Siber dan Infrastruktur AS (CISA) menandai 93 kerentanan Cisco seperti yang dieksploitasi secara aktif di alam liar sejak November 2021, enam di antaranya telah disalahgunakan dalam serangan ransomware.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.









