🌟 Atualização imperdÃvel para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma vulnerabilidade SSRF de alta gravidade, rastreada como CVE-2026-20230, no Cisco Unified Communications Manager Server está agora sendo explorada em ataques.
A Cisco lançou atualizações de segurança para a falha CVE-2026-20230 em 3 de junho, alertando que a exploração poderia dar aos invasores privilégios de root no dispositivo.
“Uma vulnerabilidade no Cisco Unified Communications Manager (Unified CM) e no Cisco Unified Communications Manager Session Management Edition (Unified CM SME) pode permitir que um invasor remoto não autenticado conduza ataques de falsificação de solicitação no servidor (SSRF) por meio de um dispositivo afetado”, alertou a Cisco.
"Essa vulnerabilidade se deve à validação de entrada inadequada para solicitações HTTP especÃficas. Um invasor pode explorar essa vulnerabilidade enviando uma solicitação HTTP elaborada para um dispositivo afetado. Uma exploração bem-sucedida pode permitir que o invasor grave arquivos no sistema operacional subjacente que podem ser usados posteriormente para serem elevados para root."
A falha foi divulgada à Cisco pela SSD Secure, que não compartilhou nenhum detalhe técnico na época.
Hoje, a empresa de inteligência de ameaças Defused alertou que a falha agora está sendo explorada ativamente em ataques.
“No fim de semana, observamos a exploração de CVE-2026-20230 – Cisco Unified CM (CUCM) WebDialer SSRF → gravação de arquivo raiz (CVSS 8.6) Nenhuma exploração registrada anteriormente e ainda não listada no CISA KEV”, alertou Defused no X.
Defused afirma que os ataques se originam de um único endereço IP e usam cargas úteis file:// construÃdas corretamente para criar arquivos no dispositivo.
Exploração Cisco CVE-2026-20230 em honeypotsFonte: Defused
Embora a falha possa ser explorada em ataques para eliminar webshells e obter privilégios de root, o PoC observado pelo Defused parece projetado para identificar dispositivos vulneráveis, tentando gravar um arquivo de texto chamado '/tmp/cve-2026-20230-test.txt' neles.
Após a divulgação da exploração, a SSD Secure publicou um artigo técnico da falha explicando como a vulnerabilidade funciona e compartilhando uma exploração de prova de conceito.
Os pesquisadores descobriram que um invasor não autenticado poderia abusar da manipulação de URLs fornecidas pelo usuário pelo componente Webdialer para forçar o aplicativo a gravar arquivos arbitrários no sistema operacional usando URIs file://.
Ao controlar o caminho do arquivo e o conteúdo gravado no disco, um invasor pode explorar o bug para obter execução remota de código e, por fim, obter privilégios de root em dispositivos vulneráveis.
A SSD Secure observou que a exploração exige que o invasor primeiro obtenha o nome do host do sistema alvo antes de realizar o ataque de gravação de arquivo. No entanto, os pesquisadores demonstraram como essas informações podem ser recuperadas do dispositivo antes da exploração.
Embora a exploração atual pareça ser de natureza de reconhecimento, agora que a falha foi totalmente divulgada, provavelmente veremos mais atores de ameaças visando esses servidores.
BleepingComputer contatou a Cisco para perguntar se eles também estão vendo a falha explorada em ataques e se algum IOC pode ser compartilhado com os defensores, e atualizará o artigo se recebermos uma resposta.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
A Cisco lançou atualizações de segurança para a falha CVE-2026-20230 em 3 de junho, alertando que a exploração poderia dar aos invasores privilégios de root no dispositivo.
“Uma vulnerabilidade no Cisco Unified Communications Manager (Unified CM) e no Cisco Unified Communications Manager Session Management Edition (Unified CM SME) pode permitir que um invasor remoto não autenticado conduza ataques de falsificação de solicitação no servidor (SSRF) por meio de um dispositivo afetado”, alertou a Cisco.
"Essa vulnerabilidade se deve à validação de entrada inadequada para solicitações HTTP especÃficas. Um invasor pode explorar essa vulnerabilidade enviando uma solicitação HTTP elaborada para um dispositivo afetado. Uma exploração bem-sucedida pode permitir que o invasor grave arquivos no sistema operacional subjacente que podem ser usados posteriormente para serem elevados para root."
A falha foi divulgada à Cisco pela SSD Secure, que não compartilhou nenhum detalhe técnico na época.
Hoje, a empresa de inteligência de ameaças Defused alertou que a falha agora está sendo explorada ativamente em ataques.
“No fim de semana, observamos a exploração de CVE-2026-20230 – Cisco Unified CM (CUCM) WebDialer SSRF → gravação de arquivo raiz (CVSS 8.6) Nenhuma exploração registrada anteriormente e ainda não listada no CISA KEV”, alertou Defused no X.
Defused afirma que os ataques se originam de um único endereço IP e usam cargas úteis file:// construÃdas corretamente para criar arquivos no dispositivo.
Exploração Cisco CVE-2026-20230 em honeypotsFonte: Defused
Embora a falha possa ser explorada em ataques para eliminar webshells e obter privilégios de root, o PoC observado pelo Defused parece projetado para identificar dispositivos vulneráveis, tentando gravar um arquivo de texto chamado '/tmp/cve-2026-20230-test.txt' neles.
Após a divulgação da exploração, a SSD Secure publicou um artigo técnico da falha explicando como a vulnerabilidade funciona e compartilhando uma exploração de prova de conceito.
Os pesquisadores descobriram que um invasor não autenticado poderia abusar da manipulação de URLs fornecidas pelo usuário pelo componente Webdialer para forçar o aplicativo a gravar arquivos arbitrários no sistema operacional usando URIs file://.
Ao controlar o caminho do arquivo e o conteúdo gravado no disco, um invasor pode explorar o bug para obter execução remota de código e, por fim, obter privilégios de root em dispositivos vulneráveis.
A SSD Secure observou que a exploração exige que o invasor primeiro obtenha o nome do host do sistema alvo antes de realizar o ataque de gravação de arquivo. No entanto, os pesquisadores demonstraram como essas informações podem ser recuperadas do dispositivo antes da exploração.
Embora a exploração atual pareça ser de natureza de reconhecimento, agora que a falha foi totalmente divulgada, provavelmente veremos mais atores de ameaças visando esses servidores.
BleepingComputer contatou a Cisco para perguntar se eles também estão vendo a falha explorada em ataques e se algum IOC pode ser compartilhado com os defensores, e atualizará o artigo se recebermos uma resposta.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
#samirnews #samir #news #boletimtec #falha #cve202620230 #do #cisco #unified #cm #agora #explorada #em #ataques
🎉 Obrigado por acompanhar, até a próxima notÃcia!
Postar um comentário