یک ضعف امنیتی با شدت بالا (CVSS 8.6) در زیرساخت ارتباطی سیسکو(Cisco) اکنون وارد فاز اکسپلویت عملیاتی شده است. آسیبپذیری Cisco Unified CM که با شناسه CVE-2026-20230 ردیابی میشود، میتواند امکان اجرای حملات جعل درخواست سمت سرور (Server-Side Request Forgery – SSRF) را از طریق دستگاه آسیبپذیر برای مهاجم فراهم کند.
بر اساس گزارشهای جدید، آسیبپذیری Cisco Unified CM هماکنون در حملات واقعی مورد سوءاستفاده قرار گرفته است و در سناریوهای پیشرفته میتواند منجر به دسترسی root روی دستگاه شود.
جزئیات فنی آسیبپذیری Cisco Unified CM
این آسیبپذیری در Cisco Unified Communications Manager (Unified CM) و نسخه Cisco Unified Communications Manager Session Management Edition (Unified CM SME) شناسایی شده است. ریشه اصلی آسیبپذیری Cisco Unified CM به وجود ضعف در اعتبارسنجی ورودی (Improper Input Validation) هنگام پردازش برخی درخواستهای HTTP بازمیگردد.
بر اساس توضیحات سیسکو، مهاجم میتواند با ارسال یک درخواست HTTP دستکاریشده به دستگاه هدف، حمله از نوع جعل درخواست سمت سرور (SSRF) را اجرا کند. در صورت موفقیتآمیز بودن حمله، این آسیبپذیری امکان نوشتن فایل روی سیستمعامل زیرین را فراهم میکند؛ قابلیتی که میتواند برای افزایش سطح دسترسی (Privilege Escalation) و در نهایت دستیابی به دسترسی سطح root مورد سوءاستفاده قرار گیرد.
سوءاستفاده از آسیبپذیری Cisco Unified CM در حملات واقعی
شرکت هوش تهدید Defused اعلام کرده است که آسیبپذیری Cisco Unified CM هماکنون در حملات واقعی مورد سوءاستفاده قرار گرفته است. این شرکت در بررسیهای اخیر خود گزارش داده که طی روزهای گذشته تلاشهایی برای سوءاستفاده از ضعف CVE‑2026‑20230 ثبت شده است.
بر اساس دادههای منتشرشده، این حملات از یک آدرس IP واحد منشأ میگیرند و مهاجمان از پیلودهای مبتنی بر file:// برای ایجاد فایل روی دستگاه هدف استفاده میکنند. این تکنیک به مهاجم اجازه میدهد از قابلیت SSRF برای تعامل مستقیم با فایلسیستم (filesystem) سیستمعامل سوءاستفاده کند و زمینه را برای مراحل بعدی حمله فراهم سازد.
انتشار PoC و تحلیل فنی آسیبپذیری
پس از افشای عمومی اکسپلویت، شرکت SSD Secure یک گزارش فنی درباره این ضعف امنیتی منتشر کرد و سازوکار عملکرد آن را بهطور دقیق تشریح نمود. همچنین در این گزارش، یک کد اثبات مفهوم (PoC) از نحوه سوءاستفاده از آسیبپذیری نیز ارائه شده است.
بر اساس تحلیلها، در حالی که این آسیبپذیری میتواند در سناریوهای حمله برای تزریق وبشل (webshell) و دستیابی به سطح دسترسی root مورد سوءاستفاده قرار گیرد، PoCتحلیلشده توسط Defused بیشتر با هدف شناسایی سیستمهای آسیبپذیر طراحی شده است. این PoC با تلاش برای ایجاد فایل متنی /tmp/cve-2026-20230-test.txt روی دستگاه هدف، وجود آسیبپذیری Cisco Unified CM را بررسی میکند.
نقش WebDialer در سوءاستفاده از آسیبپذیری
محققان امنیتی دریافتند که مهاجم بدون نیاز به احراز هویت میتواند از نحوه پردازش URLهای ورودی کاربر در کامپوننت WebDialer سوءاستفاده کند. این ضعف به مهاجم اجازه میدهد با استفاده از URIهای نوع file:// (file URI scheme)، اپلیکیشن را وادار به نوشتن فایلهای دلخواه (arbitrary file write) روی سیستمعامل کند.
مهاجم در صورت کنترل مسیر فایل و محتوای نوشتهشده، میتواند از این آسیبپذیری Cisco Unified CM برای دستیابی به اجرای کد از راه دور (RCE) استفاده کرده و در نهایت کنترل کامل دستگاه را به دست آورد.
سناریوی حمله
طبق تحلیل پژوهشگران، برای سوءاستفاده کامل از این آسیبپذیری Cisco Unified CM ابتدا لازم است مهاجم hostname سیستم هدف را به دست آورد. با این حال، محققان نشان دادهاند که این اطلاعات نیز میتواند پیش از اجرای حمله از خود دستگاه استخراج شود.
مهاجم پس از دستیابی به این اطلاعات، میتواند حمله نوشتن فایل را اجرا کرده و مسیر دستیابی به اجرای کد از راه دور و در نهایت دسترسی root را هموار کند.
در حال حاضر، اگرچه این آسیبپذیری بهصورت فعال در حملات واقعی مورد سوءاستفاده قرار میگیرد، اما بررسیها نشان میدهد هدف مهاجمان در این مرحله بیشتر شناسایی و ارزیابی سرورهای آسیبپذیر است. با این حال، از آنجا که جزئیات فنی و PoC این آسیبپذیری بهصورت عمومی منتشر شدهاند، انتظار میرود در آینده نزدیک عوامل تهدید بیشتری این سرورها را هدف حملات خود قرار دهند.