Cisco устранила критическую уязвимость нулевого дня (CVE-2026-20045) в оборудовании унифицированных коммуникаций, позволяющую удаленно выполнять произвольный код. CISA внесла изъян в список активно используемых, и неисправленные системы могут быть полностью захвачены.
Компания Cisco наконец выпустила исправление для критической уязвимости нулевого дня в своем оборудовании для унифицированных коммуникаций — изъяна, который уже активно используется злоумышленниками в реальных атаках, и который ранее Агентство по кибербезопасности и защите инфраструктуры США (CISA) определило как экстренный приоритет.
Эта ошибка, отслеживаемая как CVE-2026-20045, скрывается в веб-интерфейсах управления таких платформ, как Cisco Unified Communications Manager (Unified CM), Session Management Edition (SME), IM & Presence Service (IM&P), Cisco Unity Connection и Webex Calling Dedicated Instance. Она позволяет неаутентифицированным удаленным злоумышленникам выполнять произвольный код в базовой операционной системе и потенциально получать права суперпользователя (root).
Команда реагирования на инциденты безопасности продуктов Cisco присвоила уязвимости рейтинг «Критический», несмотря на то, что ее базовый счет CVSS находится в диапазоне «Высокий», поскольку успешная эксплуатация может привести к полной компрометации системы.
Сетевой гигант сообщил, что ему «известны попытки эксплуатации этой уязвимости в реальных условиях», и настоятельно призвал клиентов немедленно применить исправления.
Cisco не уточнила, сколько клиентов затронуто, была ли эксфильтрация данных из скомпрометированных сред, а также кто стоит за этими попытками эксплуатации. Компания оперативно не ответила на запросы издания The Register.
Проблема заключается в обработке HTTP в интерфейсе управления и может быть активирована без входа в систему. «Эта уязвимость вызвана некорректной проверкой вводимых пользователем данных в HTTP-запросах», — поясняет Cisco в своем бюллетене. «Злоумышленник может использовать эту уязвимость, отправив последовательность специально сформированных HTTP-запросов на веб-интерфейс управления затронутого устройства».
Учитывая, как часто эти интерфейсы доступны через внутренние сети или VPN, нетрудно понять, почему атакующие обратили на них внимание.
Это исправление выходит всего через несколько дней после того, как Cisco была вынуждена выпустить другой набор патчей для другой критической уязвимости удаленного выполнения кода в своих продуктах Secure Email Gateway и Secure Email and Web Manager — CVE-2025-20393, что подчеркивает непростое начало года для кода компании «Switchzilla».
CISA добавила этот дефект в свой список известных эксплуатируемых уязвимостей, что означает, что федеральные агентства обязаны установить патч в установленные сроки, а у всех остальных мало оснований для промедления.
Cisco не предложила обходных мер, что означает: если вы используете затронутое программное обеспечение, вам остается в основном устанавливать патчи и надеяться, что вы успеете раньше других.
Для тех, кто до сих пор считает голосовую инфраструктуру скучным «водопроводом», это очередное напоминание о том, что для злоумышленников это далеко не так. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page