Cisco Unified CM: la falla SSRF CVE-2026-20230 è ora sfruttata in rete

La falla SSRF CVE-2026-20230 in Cisco Unified Communications Manager è ora sotto sfruttamento attivo. Rischio di escalation a root su una piattaforma trasversale a più settori: la patch è disponibile dal 3 giugno, ma la finestra di esposizione si è già aperta.

La vulnerabilità CVE-2026-20230 in Cisco Unified Communications Manager (Unified CM) e nella variante Session Management Edition (Unified CM SME) è passata dalla teoria alla pratica: dopo settimane dalla patch, nel fine settimana sono stati osservati i primi tentativi di sfruttamento in rete. Lo segnala la società di threat intelligence Defused e lo riporta BleepingComputer, su una piattaforma di comunicazione unificata diffusissima in aziende, sanità, finanza e pubblica amministrazione.

La vulnerabilità in Cisco Unified CM

Si tratta di una server-side request forgery (SSRF) sfruttabile da un attaccante remoto e non autenticato. Secondo l’advisory di Cisco, il difetto nasce da una validazione impropria di specifiche richieste HTTP: inviando una richiesta confezionata ad hoc al componente WebDialer, l’attaccante può forzare l’applicazione a scrivere file arbitrari sul sistema operativo sottostante tramite URI file://. Controllando percorso e contenuto del file, l’azione può essere concatenata fino all’esecuzione di codice e all’escalation a root.

Sul punteggio conviene essere precisi. Il valore CVSS base è 8.6, formalmente in fascia alta; Cisco ha però assegnato all’advisory un Security Impact Rating Critico, proprio perché lo sfruttamento porta ai privilegi di root. I due indicatori non si contraddicono: misurano cose diverse, e per la priorità di patching è il secondo a pesare di più. Un prerequisito conta: il servizio WebDialer deve essere attivo; è disattivato per impostazione predefinita, ma di uso comune negli ambienti enterprise per la funzione click-to-call.

Cosa è successo nel fine settimana

La falla era stata segnalata a Cisco tramite SSD Secure Disclosure da un ricercatore indipendente, senza dettagli tecnici al momento della divulgazione, e corretta con gli aggiornamenti del 3 giugno 2026. Nel weekend Defused ha osservato i primi tentativi reali, provenienti da un singolo indirizzo IP e basati su payload file:// correttamente costruiti. La vulnerabilità non era stata sfruttata in precedenza e, al momento della segnalazione, non figurava ancora nel catalogo Known Exploited Vulnerabilities di CISA.

Per ora l’attività ha natura di ricognizione: il codice osservato si limita a scrivere un file di test, /tmp/cve-2026-20230-test.txt , per identificare i sistemi vulnerabili, non a installare webshell. La finestra di rischio, però, si è allargata. Già a inizio giugno il PSIRT di Cisco segnalava l’esistenza di codice proof of concept pubblico; ciò che è nuovo ora è lo sfruttamento attivo osservato in rete e, il 23 giugno, un write-up tecnico dettagliato di SSD. L’exploit richiede di recuperare prima il hostname del bersaglio, passaggio che i ricercatori hanno mostrato come ottenere. Con la catena completa ora alla portata di più attori, è probabile che altri prendano di mira questi server.

Cosa fare

L’azione è netta e urgente. Chi gestisce Unified CM o Unified CM SME dovrebbe applicare le versioni corrette: la fix è disponibile in Unified CM 14SU6, mentre per la linea 15 arriverà con 15SU5 a settembre 2026, con patch COP intermedie nel frattempo. L’advisory Cisco non prevede workaround risolutivi, ma indica come mitigazione la disattivazione del servizio WebDialer (da Strumenti, Attivazione servizi in Cisco Unified Serviceability) fino all’applicazione della patch: poiché lo sfruttamento richiede WebDialer attivo, spegnerlo rimuove la superficie d’attacco dove l’aggiornamento immediato non è possibile.

Il caso si inserisce in una sequenza ormai riconoscibile: una falla in un sistema perimetrale o di gestione, una patch disponibile, una finestra di alcune settimane e l’arrivo dello sfruttamento una volta che il proof of concept diventa pubblico. Per le infrastrutture critiche che poggiano sulle comunicazioni unificate, la sola disponibilità della patch non basta: conta la velocità con cui viene applicata.