Cisco выпустила критические патчи для уязвимости удаленного выполнения кода (CVE-2026-20045) в продуктах унифицированных коммуникаций. CISA добавила уязвимость в каталог KEV, подтвердив её активную эксплуатацию. Эксплойт позволяет получить доступ к системе и повысить привилегии до root без участия пользователя.
Cisco выпустила исправления для критической уязвимости удаленного выполнения кода в своих продуктах унифицированных коммуникаций, которую злоумышленники активно эксплуатируют. Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло эту уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV), тем самым подтвердив факт её использования.
Cisco раскрыла информацию о CVE-2026-20045, одновременно представив патчи для Unified Communications Manager, Unity Connection и Webex Calling Dedicated Instance. Компания присвоила уязвимости рейтинг критической опасности, несмотря на балл CVSS, равный 8.2.
«Cisco присвоила этому бюллетеню безопасности рейтинг критического воздействия (SIR) вместо высокого, как предполагает балл», — сообщила компания в своём уведомлении. «Причина в том, что эксплуатация этой уязвимости может привести к повышению привилегий злоумышленника до уровня root».
Включение уязвимости в каталог KEV агентством CISA подтверждает, что злоумышленники используют её в реальных атаках. «Этот тип уязвимости является частым вектором атак для киберпреступников и представляет значительные риски для федеральных структур», — заявила CISA в своём оповещении.
Это уже вторая активно эксплуатируемая уязвимость Cisco, которую CISA добавила в каталог KEV за последние недели. На прошлой неделе агентство добавило CVE-2025-20393, затрагивающую программное обеспечение Cisco Secure Email Gateway.
«Другие продукты для совместной работы, включая Contact Center Enterprise, Emergency Responder, Finesse, Unified Intelligence Center и Unified Contact Center Express, не подвержены CVE-2026-20045», — добавлено в уведомлении.
Компрометация на уровне root без участия пользователя
Уязвимость вызвана некорректной проверкой вводимых пользователем данных в HTTP-запросах. «Злоумышленник может использовать эту уязвимость, отправив последовательность специально сформированных HTTP-запросов к веб-интерфейсу управления затронутого устройства», — пояснили в Cisco в своём бюллетене. «Успешная эксплуатация может позволить злоумышленнику получить доступ на уровне пользователя к базовой операционной системе, а затем повысить привилегии до root».
Атака не требует взаимодействия с пользователем и может быть выполнена неаутентифицированными удалёнными злоумышленниками, что делает её особенно опасной для развёртываний унифицированных коммуникаций, доступных из интернета, отмечается в уведомлении.
Команда по реагированию на инциденты безопасности продуктов Cisco также сообщила, что ей «известны попытки эксплуатации этой уязвимости в реальных условиях», что подчёркивает срочность установки патчей.
Обходные пути не предусмотрены
Cisco подтвердила в бюллетене, что для CVE-2026-20045 не существует обходных путей или мер по снижению рисков. Компания выпустила исправления, специфичные для каждой версии продукта.
Для Unified Communications Manager, IM&P, SME и Webex Calling Dedicated Instance версии 14 компания рекомендовала администраторам обновиться до версии 14SU5 или применить файл патча, специфичный для версии. Организации, использующие версию 15, могут применить специфичные для версии патчи 15SU2 и 15SU3a, при этом полный выпуск версии 15SU4 ожидается в марте 2026 года, добавила компания.
Администраторы Unity Connection имеют схожие варианты: доступны файлы патчей для релизов 14SU4 и 15SU3.
Организациям, всё ещё использующим версию 12.5, придётся принять более сложное решение: Cisco не будет выпускать исправления для этой версии и рекомендует мигрировать на поддерживаемый релиз.
«Клиентам рекомендуется мигрировать на поддерживаемый релиз, который включает исправление данной уязвимости», — говорится в уведомлении Cisco. Патчи специфичны для версий, и администраторам следует ознакомиться с файлами README, прилагаемыми к каждому патчу, для получения подробной информации о развёртывании, добавлено в бюллетене.
Сроки для федеральных агентств
Включение CVE-2026-20045 в каталог KEV агентством CISA запускает обязательные сроки устранения для федеральных гражданских исполнительных органов в соответствии с Директивой 22-01. Федеральные агентства должны установить исправления для этой уязвимости в течение двух недель с момента её добавления в каталог 21 января.
Хотя Директива 22-01 применима конкретно к федеральным агентствам, CISA «настоятельно рекомендует» всем организациям рассматривать уязвимости из списка KEV как высокоприоритетные цели для установки патчей. Каталог отслеживает уязвимости с подтверждённой активной эксплуатацией, что делает их значительно более вероятной целью для атак на более широкий круг объектов.
Как установить исправления
Cisco рекомендовала организациям проверить все экземпляры, доступные из интернета, на предмет признаков возможного компрометации после применения мер по снижению рисков. Компания посоветовала администраторам просмотреть системные журналы и конфигурации на предмет несанкционированных изменений или подозрительной активности, которые могут указывать на предыдущую эксплуатацию.
Для организаций, которые не могут немедленно обновиться до исправленных версий, компания предложила в качестве временной меры использовать файлы патчей, специфичные для версий. Однако Cisco отметила, что патчи должны точно соответствовать версии программного обеспечения, запущенной на устройстве, и администраторам следует проверить совместимость перед развёртыванием.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain