Cisco Unified Communications Manager: Kritisches SSRF-zu-Root CVE‑2026‑20230 mit öffentlichem PoC
Eine kritische SSRF-Schwachstelle im WebDialer-Dienst von Cisco Unified CM ermöglicht nicht authentifizierten Angreifern das Schreiben beliebiger Dateien und die Eskalation zu Root-Rechten. Öffentlicher Exploit-Code erhöht das Angriffsrisiko erheblich – sofortige Mitigation erforderlich.
Cisco hat am 4. Juni 2026 eine kritische Sicherheitslücke im Unified Communications Manager (Unified CM) und Unified CM Session Management Edition (SME) offengelegt. Die als CVE-2026-20230 geführte Schwachstelle wird mit einem CVSS-Score von 8,6 als Critical eingestuft. Besonders brisant: Öffentlich verfügbarer Proof-of-Concept-Exploit-Code ist bereits im Umlauf, was das Risiko aktiver Angriffe erheblich steigert.
Die Schwachstelle
Der Fehler liegt im WebDialer-Dienst von Cisco Unified CM. Durch eine unzureichende Validierung eingehender HTTP-Anfragen lässt sich ein Server-Side Request Forgery (SSRF)-Angriff durchführen. Ein nicht authentifizierter Angreifer mit Netzwerkzugang zum betroffenen System kann über diesen Weg beliebige Dateien ins Betriebssystem schreiben und anschließend zu Root-Rechten eskalieren – also vollständige Kontrolle über den Server erlangen.
Ein wichtiger Umstand mindert das Risiko geringfügig: Der WebDialer-Dienst ist in der Standardkonfiguration von Cisco Unified CM deaktiviert. Systeme, auf denen der Dienst jedoch manuell aktiviert wurde, sind vollständig angreifbar – ohne dass der Angreifer über gültige Zugangsdaten verfügen muss.
Cisco PSIRT bestätigte zum Zeitpunkt der Disclosure, dass keine aktive Ausnutzung der Schwachstelle bekannt ist. Angesichts des öffentlich verfügbaren PoC-Codes kann sich diese Einschätzung allerdings rasch ändern.
Bin ich betroffen?
Betroffen sind alle Installationen von Cisco Unified Communications Manager und Unified CM Session Management Edition, auf denen der WebDialer-Dienst aktiviert ist. Das gilt für die aktuell verbreiteten Releases 14 und 15.
| Produkt | Betroffene Version | Fix verfügbar |
|---|---|---|
| Cisco Unified CM | Release 14 (mit aktivem WebDialer) | Sofort: Upgrade auf 14SU6 |
| Cisco Unified CM | Release 15 (mit aktivem WebDialer) | Interim COP-Patch sofort; 15SU5 erst September 2026 |
| Cisco Unified CM SME | Release 14 und 15 (mit aktivem WebDialer) | Wie oben |
Administratoren können den Status des WebDialer-Dienstes in der Cisco Unified Serviceability-Oberfläche unter Tools → Service Activation prüfen. Ist der Dienst dort als aktiv ausgewiesen, besteht unmittelbarer Handlungsbedarf.
Wie behebe ich das?
Cisco stellt je nach eingesetzter Release-Version unterschiedliche Maßnahmen bereit:
- Release 14: Sofortiges Upgrade auf
14SU6. Diese Version enthält den vollständigen dauerhaften Fix und ist ab sofort verfügbar. - Release 15: Sofortige Installation des bereitgestellten Interim COP-Patches. Der dauerhafte Fix ist Bestandteil von
15SU5, das laut Cisco erst im September 2026 erscheinen wird. - Workaround (alle Versionen): Den WebDialer-Dienst vorübergehend deaktivieren, bis der passende Patch eingespielt ist. Da der Dienst standardmäßig inaktiv ist, betrifft dies nur Umgebungen, in denen er bewusst aktiviert wurde.
Wie das grundsätzliche Absichern von Netzwerkdiensten und das Minimieren von Angriffsflächen funktioniert, erläutert die s-edv.com-Anleitung pfSense/OPNsense Firewall-Erstkonfiguration. Einen schnellen Einstieg in Zwei-Faktor-Authentifizierung als ergänzende Schutzmaßnahme für kritische Systeme bietet die Anleitung Zwei-Faktor-Authentifizierung einführen.
Was bedeutet das für Unternehmen?
Cisco Unified CM ist in vielen Unternehmen das Herzstück der internen Telefonkommunikation. Eine vollständige Kompromittierung dieses Systems bedeutet nicht nur den Verlust der Kommunikationsinfrastruktur, sondern potenziell auch Zugriff auf interne Netzwerksegmente, gespeicherte Gesprächsdaten und Konfigurationsinformationen.
Die Kombination aus unauthentifiziertem Angriff, Root-Eskalation und öffentlich verfügbarem PoC-Code macht CVE-2026-20230 zu einer Schwachstelle mit sehr hohem tatsächlichem Ausnutzungsrisiko – unabhängig davon, dass Cisco aktuell keine bestätigten Angriffe meldet. Erfahrungsgemäß verkürzt die Verfügbarkeit von PoC-Code die Zeit bis zum ersten Angriff auf Stunden bis wenige Tage.
IT-Verantwortliche sollten umgehend prüfen, ob der WebDialer-Dienst in ihrer Umgebung aktiv ist, und entweder den Dienst deaktivieren oder den passenden Patch einspielen. Systeme auf Release 15 sind bis September 2026 mit dem Interim COP-Patch und deaktiviertem WebDialer zu betreiben. Angesichts des Schweregrads empfiehlt sich zudem eine Überprüfung der Netzwerksegmentierung rund um die Unified CM-Infrastruktur sowie eine Kontrolle der Zugriffslogs auf verdächtige HTTP-Anfragen an den WebDialer-Endpunkt.
Für Umgebungen, in denen ein Notfallplan für kompromittierte Systeme fehlt, bietet die s-edv.com-Anleitung Ransomware-Notfallplan: die ersten 60 Minuten eine strukturierte Vorgehensweise für den Ernstfall.
