25 de Junio de 2026

Explotan una vulnerabilidad crítica en Cisco Unified CM

La vulnerabilidad CVE-2026-20230 ya se encuentra siendo utilizado en ataques reales.

La vulnerabilidad CVE-2026-20230 que afecta a Cisco Unified Communications Manager (Unified CM) ya está siendo utilizada en intentos de ataque observados en entornos reales. Se trata de un fallo de tipo SSRF (Server-Side Request Forgery) que requiere que el componente WebDialer esté habilitado y que podría permitir a un atacante sin autenticación escribir archivos en el sistema, facilitando posteriormente una posible escalada de privilegios hasta obtener acceso como root.

Las organizaciones que utilizan Cisco Unified Communications Manager (Unified CM) o Cisco Unified Communications Manager Session Management Edition (Unified CM SME) deberían revisar de forma prioritaria si el servicio WebDialer está activo y aplicar las actualizaciones de seguridad publicadas por Cisco. La amenaza ya no es únicamente potencial, ya que se han identificado intentos de explotación asociados a esta vulnerabilidad, clasificada por el fabricante como crítica.

El problema se origina en una validación insuficiente de determinadas solicitudes HTTP, lo que permite explotar una vulnerabilidad SSRF. Mediante esta técnica, un atacante remoto y sin necesidad de autenticarse puede inducir al servidor a realizar peticiones manipuladas hacia recursos internos o externos bajo su control. En este caso, el impacto es especialmente relevante porque la explotación puede derivar en la escritura arbitraria de archivos en el sistema operativo. Aunque esto no supone por sí mismo el control total del servidor, sí proporciona una base sólida para lograr una escalada de privilegios y comprometer completamente el sistema.

La exposición al riesgo depende directamente de la activación de WebDialer. Este servicio suele estar deshabilitado por defecto en muchas implementaciones, lo que reduce la superficie de ataque. Sin embargo, instalaciones heredadas o configuraciones específicas pueden mantenerlo activo, aumentando significativamente el riesgo. Además, la disponibilidad pública de una prueba de concepto incrementa el interés de los actores maliciosos por explotar la vulnerabilidad.

Cisco publicó los parches de seguridad correspondientes el 3 de junio de 2026. La compañía ha indicado que no existen medidas alternativas capaces de mitigar completamente el problema sin aplicar las actualizaciones oficiales. Mientras se planifica la actualización, una medida temporal recomendable es deshabilitar WebDialer cuando no sea un componente imprescindible para la operación.

Desde el punto de vista operativo, los equipos de seguridad deberían identificar todas las instancias de Unified CM y Unified CM SME que tengan WebDialer habilitado, especialmente aquellas accesibles desde redes no confiables. Posteriormente, es necesario desplegar las versiones corregidas recomendadas por Cisco. Para los entornos basados en Unified CM 14, la actualización indicada es 14SU6, mientras que los usuarios de Unified CM 15 deberían planificar la migración a 15SU5, prevista para septiembre de 2026, o evaluar la instalación de COP1 cuando sea compatible con su entorno.

Una vez aplicadas las correcciones, resulta aconsejable realizar tareas de verificación y monitorización. Entre ellas, revisar registros y eventos en busca de indicadores relacionados con actividades SSRF o escrituras inusuales de archivos, así como reforzar la supervisión de los servidores de comunicaciones, que en muchos casos reciben menos atención que otros sistemas críticos. Asimismo, restringir el acceso de red a interfaces y servicios administrativos exclusivamente a segmentos de gestión autorizados ayuda a reducir el impacto de posibles intentos de explotación futuros.

Más información

Regresar

Scroll al inicio