Een kritieke kwetsbaarheid in Cisco Unified Communications Manager waarvoor begin deze maand een beveiligingsupdate verscheen wordt nu actief misbruikt bij aanvallen. Dat stelt cybersecuritybedrijf Defused. Cisco heeft dit zelf nog niet bevestigd. De Unified Communications Manager is een voip-platform dat telefoongesprekken verwerkt. Begin deze maand verscheen er een patch voor een kwetsbaarheid, aangeduid als CVE-2026-20230.

Het voip-platform gaat niet goed om met bepaalde HTTP requests. Een remote ongeauthenticeerde aanvaller kan door het versturen van een speciaal geprepareerd HTTP request bestanden naar het onderliggende besturingssysteem schrijven die later zijn te gebruiken om root op het systeem te worden. Voorwaarde voor misbruik is wel dat de WebDialer staat ingeschakeld. Deze functie maakt het mogelijk voor gebruikers om via web- en desktopapplicaties telefoongesprekken te voeren. Standaard staat de feature niet ingeschakeld.

In het beveiligingsbulletin liet Cisco al weten dat er publieke proof-of-concept exploitcode voor het beveiligingslek online staat. Het netwerkbedrijf stelde ook dat het nog niet bekend was met misbruik van het probleem. Volgens Defused maken aanvallers sinds dit weekend misbruik van CVE-2026-20230. Verdere details over deze aanvallen zijn echter niet gegeven. Begin dit jaar werd ook een ander kritiek lek in Unified Communications-producten actief misbruikt. Deze aanvallen vonden echter al plaats voordat een patch beschikbaar was.