Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 24.06.2026 · 4 min Lesezeit

Cisco Unified CM: Kritische SSRF-Lücke CVE-2026-20230 jetzt aktiv ausgenutzt

Cisco Unified CM ist weltweit in Unternehmen im Einsatz. Jetzt wird eine SSRF-Lücke aktiv angegriffen, die Angreifern Root-Zugriff ermöglicht. Betroffene Admins müssen sofort handeln.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Cisco Unified CM Sicherheitslücke CVE 2026 20230 mit aktiv ausgenutzter SSRF Schwachstelle, VoIP Server und IP Telefone unter Cyberangriff in moderner IT News Darstellung.

Enterprise-Telefonieserver von Cisco sind weltweit im Einsatz – in Büros, Callcentern und Rechenzentren. Eine seit Anfang Juni 2026 bekannte Schwachstelle wird seit Kurzem aktiv ausgenutzt: Angreifer nutzen eine SSRF-Lücke (Server-Side Request Forgery) im Cisco Unified Communications Manager (Unified CM), um beliebige Dateien auf das Betriebssystem zu schreiben und anschließend Root-Rechte zu erlangen. Die Bedrohung ist damit erheblich eskaliert.

Meldung und aktuelle Lage

Die Sicherheitslücke CVE-2026-20230 wurde von Cisco am 3. Juni 2026 gepatcht und am selben Tag veröffentlicht. SSD Secure Disclosure hatte die Lücke verantwortungsvoll gemeldet. Cisco beschrieb den Fehler damals als SSRF im WebDialer-Interface, über das ein nicht authentifizierter Angreifer von außen Dateien auf das System schreiben könnte. Ein Proof-of-Concept (PoC) wurde veröffentlicht, bevor viele Admins das Update einspielen konnten.

Am 23. Juni 2026 meldete das Threat-Intelligence-Unternehmen Defused auf X, dass die Lücke jetzt aktiv in Angriffen ausgenutzt wird. Die Angriffe stammten von einer einzelnen IP-Adresse und nutzten konstruierte file://-Payloads, um Testdateien auf verwundbare Geräte zu schreiben – erkennbar an der Datei /tmp/cve-2026-20230-test.txt. Cisco bestätigte gegenüber BleepingComputer, dass die Ausnutzung beobachtet wird.

Am 24. Juni 2026 veröffentlichte auch Security Week einen Bericht. Mittlerweile ist ein vollständiger technischer Write-up von SSD Secure veröffentlicht, der die Exploit-Kette im Detail erklärt.

Technische Details für Admins

Die Lücke sitzt im WebDialer-Interface des Cisco Unified Communications Manager. Das WebDialer-Komponente ermöglicht es Benutzern, über eine Weboberfläche Telefonanrufe zu starten. Dabei werden benutzerdefinierte URLs verarbeitet, die anfällig für SSRF sind.

Ein Angreifer kann über das WebDialer-Interface eine präparierte HTTP-Anfrage mit einer file://-URI senden. Die Anwendung schreibt daraufhin beliebige Inhalte an einen vom Angreifer kontrollierten Pfad auf dem Dateisystem. Durch geschickte Wahl von Pfad und Inhalt lässt sich anschließend Remote Code Execution (RCE) erreichen – schließlich Root.

Der Angriffsvektor im Detail:

  1. Angreifer sendet eine unauthentifizierte HTTP-Anfrage an das WebDialer-Interface mit einer file://-URI als Parameter.
  2. Die Anwendung interpretiert die URI und schreibt den Inhalt in eine Datei auf dem Betriebssystem.
  3. Der Angreifer platziert eine Webshell oder ein Skript mit ausführbarem Inhalt.
  4. Ein zweiter Aufruf triggert die Ausführung – der Angreifer hat Root-Zugriff.

Eine Hürde bleibt: Der Angreifer muss zunächst den Hostnamen des Zielsystems kennen, bevor die Datei-Schreib-Attacke funktioniert. SSD Secure zeigte jedoch, wie dieser Wert über eine separate Abfrage an das gleiche Interface abgesaugt werden kann. Der gesamte Angriff läuft unauthentifiziert ab.

Die Verwundbarkeit betrifft folgende Produkte und Versionen:

ProduktBetroffene VersionenBehobene Version
Cisco Unified Communications Manager (Unified CM)11.5 bis 14SU614SU7 und höher
Cisco Unified CM Session Management Edition (Unified CM SME)11.5 bis 14SU614SU7 und höher
Cisco Unified Communications Manager12.5 bis 12.5SU1112.5SU12 und höher
Cisco Unified CM IM and Presence Service11.5 bis 14SU614SU7 und höher

Risiko für KMU und Betrieb

Unified-CM-Systeme stehen selten direkt am Internet-Edge. Sie sind typischerweise im internen Netz oder hinter einer Firewall angesiedelt. Das reduziert das Risiko, aber eliminiert es nicht:

  1. Viele Unified-CM-Instanzen sind über VPN oder via Management-Interface von außen erreichbar.
  2. Die Lücke erfordert keine Authentifizierung – jedes System mit exponiertem WebDialer-Interface ist potenziell angreifbar.
  3. Nach einer Kompromittierung hat der Angreifer Root auf dem gesamten Telefonieserver. Von dort aus sind seitwärtige Bewegungen möglich.
  4. VoIP-Traffic kann abgefangen, Gesprächsprotokolle eingesehen und das System als Sprungbrett für weitere Angriffe genutzt werden.

Die CVSS-Bewertung liegt bei 8.6 (HIGH) – das ist keine Lücke, die man auf die lange Bank schieben sollte.

Was Admins jetzt prüfen sollten

  1. Patch-Status prüfen: Systeme müssen auf Version 14SU7 (oder neuer), 12.5SU12 (oder neuer) aktualisiert sein. Das Update steht im Cisco Software Center bereit.
  2. Exponierte WebDialer-Interfaces identifizieren: Alle Systeme, die TCP-Port 8443 oder das WebDialer-Verzeichnis (/webdialer) über Netzgrenzen hinweg erreichbar machen, sofort prüfen und patchen.
  3. Dateien auf dem System checken: Ob eine Kompromittierung vorliegt, lässt sich anhand von unerwarteten Dateien prüfen. Insbesondere Dateien unter /tmp/ mit CVE-Bezug sind alarmierend.
  4. WebDialer deaktivieren: Falls das Feature nicht benötigt wird, lässt es sich über die Cisco Unified CM Administrationsoberfläche abschalten.
  5. HTTP-Zugriff auf das Interface einschränken: IP-Allowlisting und Firewall-Regeln verhindern, dass unbefugte IP-Adressen das WebDialer-Interface erreichen.
  6. Angriffsversuche über die bekannte IP-Adresse monitoren: Logs auf Zugriffe von der von Defused genannten IP prüfen.
  7. Mandanten-Trennung im Netz: Unified CM sollte in einem eigenen VLAN angesiedelt sein, um seitwärtige Bewegungen im Ernstfall zu begrenzen.

Admin-Einschätzung

Die Kombination aus SSRF, Root-Schreibzugriff und einem öffentlichen PoC macht diese Lücke besonders kritisch. Die aktiv laufenden Angriffe zeigen, dass Angreifer die Lücke nicht nur als Konzept demonstrieren, sondern produktiv einsetzen. Für Unternehmen, die Cisco-Telefonie betreiben, ist das Update auf die neüste Unified-CM-Version der einzige verantwortungsvolle Weg. Das Risiko eines Update-Ausfalls ist deutlich geringer als das einer Kompromittierung mit Root-Zugriff.

Empfehlung: Patch priorisieren, WebDialer-Exposition sofort prüfen, und in den nächsten Tagen die Logs auf Angriffsversuche monitoren.

Passende Anleitungen auf S-EDV

  1. Cisco ISE Sicherheitslücke kritisch – was Admins tun müssen – Ähnliches Patching-Szenario bei Cisco-Enterprise-Produkten.
  2. Cisco SD-WAN: CVE-2026-20262 ermöglicht Root-Rechte – Kontext zu weiteren aktuellen Cisco-Lücken im Frühsommer 2026.

Quellen

  1. BleepingComputer: Cisco Unified CM SSRF flaw CVE-2026-20230 now exploited in attacks
  2. Security Week: Hackers Exploiting Cisco Unified CM Vulnerability
  3. The Hacker News: Cisco Unified CM Flaw Exploited After PoC Reveals File-Write Path to Root
  4. Cisco Security Advisory CVE-2026-20230
Verwandt

Weiter lesen

Alle Artikel →
Nächtlich stehender ICE auf Bahnstrecke mit Warnsignal, Deutschlandkarte und GSM-R-Ausfall Symbol für bundesweite Störung im Zugverkehr der Deutschen Bahn.
24.06.2026 ·6 min

Deutsche Bahn: GSM-R-Ausfall legt bundesweiten Zugverkehr in der Nacht still

In der Nacht zum 23. Juni 2026 hat ein IT-Ausfall im digitalen Zugfunksystem GSM-R den deutschen Schienenverkehr lahmgelegt. Alle Züge standen still. Dieser Vorfall macht die massive Abhängigkeit kritischer Infrastrukturen von digitaler Kommunikationstechnik deutlich.
Fake AI Agent Skill umgeht Security Scanner und erreicht 26.000 Agents in moderner Cybersecurity News Grafik
24.06.2026 ·4 min

Fake AI Agent Skill passiert alle Security-Scanner und erreicht 26.000 Agents

Die Sicherheitsfirma AIR hat einen gefälschten KI-Agenten-Skill entwickelt, der alle gängigen Sicherheitsscanner täuschte und über einen populären Skill-Marketplace sowie Instagram-Werbung auf rund 26.000 Agents verteilt wurde. Der Skill sammelte E-Mail-Adressen der Nutzer, aber der Proof-of-Concept zeigt, wie leicht bösartige Skills in KI-Agenten-Ökosysteme eingeschleust werden können.
Squidbleed Sicherheitslücke im Squid Proxy zeigt unverschlüsselte HTTP Requests und sensible Verbindungsdaten im Klartext. IT News Grafik zu einem 29 Jahre alten Proxy Bug mit Risiko für Datenschutz und Netzwerksicherheit.
24.06.2026 ·4 min

Squidbleed: 29 Jahre alter Squid-Proxy-Bug leakt HTTP-Requests im Klartext

Der Squid-Proxy hat eine kritische Sicherheitslücke, die unter dem Namen Squidbleed bekannt wurde. Ein Heap-Overread in der FTP-Parsing-Logik aus dem Jahr 1997 kann fremde HTTP-Requests inklusive Credentials und Session-Tokens an andere Nutzer des gleichen Proxys preisgeben. Die Lücke ist in der Standardkonfiguration ausnutzbar. Ein Update auf Squid 6.15 oder 5.10 schließt die Lücke.