Erlangung von Root-Rechten möglich SSRF-Schwachstelle in Cisco Unified CM in Angriffen genutzt

Von Melanie Staudacher 2 min Lesedauer

Aktive Angriffe auf Cisco Unified CM laufen. Eine SSRF-Schwachstelle ermöglicht unter Umständen Root-Zugriff auf Systeme. Schnelles Patchen und das Deaktivieren betroffener Dienste sind entscheidend.

Nutzer der Cisco-Plattform Unified CM sollten dringend patchen, da eine kritische Schwachstelle aktiv ausgenutzt wird.(Bild:  Gemini / Vogel IT-Medien GmbH / KI-generiert)
Nutzer der Cisco-Plattform Unified CM sollten dringend patchen, da eine kritische Schwachstelle aktiv ausgenutzt wird.
(Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)

Eine Sicherheitslücke in Ciscos Telefonie- und Kollaborationsplattform Unified Communications Manager (CM) könnte es Angreifern ermöglichen, Dateien auf dem zugrundeliegenden Betriebssystem zu schreiben, mit denen sie später Root-Rechte erlangen könnten. Und dieses Szenario könnte sogar schon Realität geworden sein, denn die Schwachstelle EUVD-2026-34137 / CVE-2026-20230 (CVSS-Score 8.6) wird bereits aktiv ausgenutzt. Und mit einem enorm hohen EPSS-Score von 41.69 bleibt das Risiko einer Ausnutzung in den nächsten 30 Tagen weiterhin hoch.

WebDialer deaktivieren

Die aktive Verwendung der Sicherheitslücke in tatsächlichen Angriffen hat die CISA bestätigt, indem sie EUVD-2026-34137 / CVE-2026-20230 in ihren KEV-Katalog aufgenommen hat. Die Cybersicherheitsagentur gab US-Behörden drei Tage Zeit, ihre Systeme zu patchen.

Hintergrund der Anfälligkeit ist eine unzureichende Eingabevalidierung für bestimmte HTTP-Anfragen. Es handelt sich also um eine sogenannte Server‑Side-Request-Forgery-Schwachstellen (SSRF). Obwohl Cisco ihr mit dem CVSS-Score von 8.6 einen hohen Schweregrad zugeordnet hat, spricht der Hersteller von einer Sicherheitslücke mit kritischem Schweregrad (ab CVSS-Score 9.0), da Angreifer potenziell Root-Rechte erlangen könnten. Die inkonsistente Bewertung könnte daher rühren, dass für die Ausnutzung der WebDialer-Dienst aktiviert sein muss, der standardmäßig deaktiviert ist.

Ob WebDialer aktiviert ist, können Sie so feststellen:

  • 1. Melden Sie sich an der Benutzeroberfläche von Cisco Unified CM Administration an.
  • 2. Wählen Sie im Navigationsmenü „Cisco Unified Serviceability“ aus und klicken Sie auf „Go“.
  • 3. Wählen Sie im Menü „Tools“ die Option „Control Center - Feature Services“ aus.
  • 4. Überprüfen Sie im Abschnitt „CTI Services“, ob der aktuelle Status des „Cisco WebDialer Web Service“ auf „Started“ oder „Not Running“ steht.
  • 5. Bis ein Patch eingespielt werden kann, sollten Sie den Status auf „Not Running“ stellen.

Betroffen von EUVD-2026-34137 / CVE-2026-20230 sind Unified CM and Unified CM Session Management Edition (SME) 14 und 15. Die versionsspezifischen Fixes sind in den Veröffentlichungen 14SU6 und 15SU5 enthalten.

* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der ent­sprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.

(ID:50893286)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung