CVE-2026-20230 Cisco Unified CM SSRF CISA KEV 5 min lectura

Cisco Unified CM: SSRF en WebDialer que escala a root sin autenticación (CVE-2026-20230)

Una falla de validación en el servicio WebDialer de Cisco Unified Communications Manager permite a un atacante remoto no autenticado escribir archivos arbitrarios en el sistema operativo del appliance y, desde ahí, escalar a root. La vulnerabilidad fue agregada al catálogo KEV de CISA el 25 de junio de 2026 con plazo de remediación federal vencido el 28 de junio.

IP
IPSecureNetwork
June 29, 2026

Contexto del incidente

El 3 de junio de 2026 Cisco publicó el advisory cisco-sa-cucm-ssrf-cXPnHcW describiendo una vulnerabilidad de Server-Side Request Forgery (CWE-918) en Cisco Unified Communications Manager (Unified CM) y en su edición Unified CM SME (Session Management Edition). El bug fue reportado por un investigador independiente trabajando con SSD Secure Disclosure y quedó registrado como CVE-2026-20230. La puntuación CVSS 3.1 base es 8.6 (High) con vector AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N, pero Cisco le asignó un Security Impact Rating (SIR) de Critical porque la cadena de explotación termina, en la práctica, con privilegios de root sobre el appliance.

La superficie expuesta es significativa. Cisco Unified CM es el corazón de la infraestructura de voz de la mayoría de las empresas medianas y grandes: maneja el registro de teléfonos IP, las llamadas SIP y SCCP, los servicios de directorio y, en su módulo WebDialer, permite a usuarios autenticados hacer clic en un número de teléfono dentro del directorio corporativo y que el softphone disque automáticamente. Es ese último módulo el que tiene la falla. WebDialer viene deshabilitado por defecto, pero la realidad operativa es que muchos deployments lo activaron hace años para integrarlo con portales intranet y CRM, y desde entonces nadie volvió a revisarlo. El 22 de junio la firma Defused reportó que un escáner individual —una sola IP de origen— ya estaba ejecutando el flujo de reconocimiento contra hosts vulnerables, y al día siguiente BleepingComputer confirmó que la explotación activa pasó de la fase de fingerprinting a intentos reales de file-write. El 25 de junio CISA agregó el CVE al catálogo KEV con due_date 28 de junio, una ventana de remediación de apenas tres días que refleja la velocidad con la que se está moviendo la amenaza.

Un módulo que muchos administradores habilitaron una vez y nunca más revisaron termina siendo la puerta de entrada al corazón de la red de voz corporativa.

Lo que vuelve a CVE-2026-20230 técnicamente interesante —y operacionalmente peligroso— es la cadena completa, no el SSRF aislado. El atacante no autenticado primero obtiene el hostname del dispositivo mediante una request al endpoint de WebDialer (información que devuelve el propio servicio), después arma una URL file:// maliciosa y la inyecta en un parámetro HTTP que WebDialer procesa del lado del servidor, y termina escribiendo un archivo arbitrario en cualquier path donde el usuario del web server tenga permisos de escritura. Ese archivo puede ser un script CGI, un cron disfrazado, una biblioteca LD_PRELOAD o cualquier payload que se ejecute automáticamente la próxima vez que un servicio reinicie. La fase final es la escalación a root, que no viene del SSRF sino de los permisos con los que corre el servicio vulnerable: por diseño, varios binarios del appliance se ejecutan con privilegios elevados, y un atacante que llega a esos binarios vía file-write hereda automáticamente esos privilegios. Es la cadena "SSRF + file-write + herencia de privilegios" la que entrega el root, y por eso Cisco forzó el SIR a Critical pese a que el CVSS numérico dice High.

¿Cómo proteger tu infraestructura?

1. Verificá si WebDialer está habilitado y desactivalo si no lo necesitás

El paso más urgente y el que menos costo operativo tiene. Desde la consola de administración del Unified CM, navegá a Cisco Unified Serviceability → Tools → Control Center - Feature Services y dentro de CTI Services revisá el estado de Cisco WebDialer Web Service. Si dice Started, tu instancia es vulnerable mientras no parchées. Para desactivarlo entrá a Tools → Service Activation, destildá el checkbox del mismo servicio y guardá. Cisco validó esta mitigación en laboratorio: cortar WebDialer cierra el camino del exploit sin necesidad de reiniciar el cluster, y es la contramedida oficial para organizaciones que no pueden desplegar el upgrade de inmediato. Si tu negocio depende de WebDialer para integraciones con CRM, planificá el upgrade a la versión fixeada (sección 3) pero como mínimo aplicá esta mitigación ya.

2. Aplicá el upgrade oficial de Cisco según tu tren de release

El advisory de Cisco mapea las versiones afectadas y parchadas de forma específica. Para Unified CM Release 14, todas las versiones anteriores a 14SU6 son vulnerables y la fixeada es 14SU6. Para Unified CM Release 15, todas las anteriores a 15SU5 son vulnerables y la fixeada es 15SU5 (publicación prevista por Cisco para septiembre de 2026). Mientras tanto, Cisco ofrece un COP patch específico por versión para los deployments 15.x que no pueden esperar al 15SU5; el archivo README adjunto al COP explica qué binarios se reemplazan y el orden de aplicación. Para Unified CM SME, las versiones siguen los mismos trenes (14SU6 / 15SU5) y la matriz de afectación es idéntica. El proceso de upgrade en CUCM no es trivial —los clusters en producción suelen requerir un orden estricto de nodos publisher/subscriber y ventanas de mantenimiento—, pero es la única remediación que cierra la vulnerabilidad a nivel código.

3. Monitoreá el indicador de reconocimiento en logs y EDR

Los atacantes que ya están sondeando la internet dejan una firma específica: intentos de escritura del archivo /tmp/cve-2026-20230-test.txt. Esa es la fase de fingerprinting que Defused reportó ver primero, y cualquier log de sistema, EDR o sysmon que registre esa creación de archivo en un Unified CM es evidencia directa de que el host fue blanco de un escaneo activo. Configurá una alerta en tu SIEM con la regla TargetFileName CONTAINS "cve-2026-20230-test.txt" (Sysmon/SentinelOne/CrowdStrike) y una segunda alerta para TargetFileName MATCHES /.*/cve-2026-20230.* en cualquier directorio escribible del appliance. Adicionalmente, revisá los logs del servicio WebDialer buscando requests con scheme file:// en el User-Agent o en cualquier campo del header HTTP —es un patrón que nunca aparece en tráfico legítimo porque WebDialer sólo consume HTTP/HTTPS a URLs internas.

4. Asumí compromiso si WebDialer estuvo expuesto y nunca parchado

Si tu CUCM corrió con WebDialer habilitado desde antes del 3 de junio de 2026 y no aplicaste ninguna mitigación, la ventana de exposición es de casi un mes, suficiente para que cualquier escáner automatizado haya dejado un payload. El plan de respuesta es: (a)_snapshot forense_ del filesystem del appliance y comparación con una imagen limpia del mismo tren de versión (buscá archivos PHP/CGI/scripts en /usr/local/thirdparty/, /var/www/, /tmp/ y /opt/); (b) rotación de credenciales de las cuentas administrativas locales del CUCM, las claves SSH del cluster y cualquier secreto que el appliance sincronice con Active Directory; (c) revisión de logs de CDR (Call Detail Records) en busca de llamadas anómalas —un atacante con root puede enrutar llamadas a números premium o usar el appliance como gateway de fraude de telecomunicaciones—; (d) aislamiento del cluster mientras dure la investigación, idealmente derivando el tráfico de voz a otro cluster de respaldo si lo tenés. La investigación forense sobre appliances Cisco en producción la hacen mejor los partners certificados de Cisco o un IR retainer; no improvises con un appliance que maneja llamadas activas de tu contact center.

Indicadores de compromiso (IoC)

Estos son los indicadores específicos que dejó CVE-2026-20230 en appliances bajo ataque activo. Si los cazás en logs, WAF, EDR o incluso en el filesystem del CUCM, el host está siendo blanco de un escaneo o ya fue comprometido:

  • Archivo de reconocimiento: /tmp/cve-2026-20230-test.txt. Es el primer IoC que Defused observó en honeypots durante el fin de semana del 21-22 de junio. La presencia de este archivo indica que el escáner confirmó que tu appliance es vulnerable y que un payload más sofisticado puede llegar en cualquier momento.
  • Scheme file:// en requests WebDialer: cualquier línea de log del servicio WebDialer que contenga un file:// en parámetros de URL, headers HTTP o payload POST es maliciosa por definición. WebDialer legítimo sólo procesa URLs http:// y https:// contra directorios corporativos internos.
  • Archivos nuevos en paths escribibles del appliance: vigilá /usr/local/thirdparty/, /var/www/html/, /tmp/, /opt/cisco/ y /home/ en busca de archivos con extensión .cgi, .sh, .php, .py o .so que no estén en el inventario de la imagen original del tren de versión.
  • Tráfico desde el scanner de HalilDeniz en GitHub: el repositorio público github.com/HalilDeniz/CVE-2026-20230-Scanner publicó un script en Python que automatiza la detección de WebDialer expuesto y permite validación opcional de PoC. Las IPs que ejecuten este scanner en masa suelen venir de hosts VPS (DigitalOcean, Vultr, Hetzner). Cruzá los logs de acceso al puerto TCP 443 de tu CUCM con feeds de reputación de esas redes.
  • Cambios en CDR de llamadas salientes: si el atacante ya tiene root, puede manipular la configuración de rutas SIP. Buscá llamadas a números premium (prefijos +881, +882, +883), internacionales no esperados en tu tráfico normal, o un volumen anómalo de llamadas cortas de pocos segundos — patrón típico de IRSF (International Revenue Share Fraud).

Si tu organización usa Cisco Unified CM y querés validar la exposición, Horizon3.ai publicó el 24 de junio un test de NodeZero Rapid Response específico para este CVE que ejecuta la cadena real sin causar daño —útil para confirmar que tu versión fixeada efectivamente cierra el agujero antes de cerrar el ticket de remediación.

# Deteccion rapida en appliances Unified CM via CLI (admin shell)
# 1) Buscar el IoC de reconocimiento que ya vimos en honeypots
find /tmp /var /opt /usr/local/thirdparty -name "cve-2026-20230*" 2>/dev/null

# 2) Detectar archivos CGI/PHP/shell que NO pertenecen a la imagen oficial
#    (comparar contra el inventario del tren de version instalado)
file_check=$(rpm -qa | wc -l)
find /var/www /opt/cisco /usr/local/thirdparty -type f \
  \( -name "*.cgi" -o -name "*.php" -o -name "*.sh" -o -name "*.py" \) \
  -newer /etc/last_inventory 2>/dev/null

# 3) Revisar logs del servicio WebDialer por patrones file://
#    (WebDialer legitimo solo consume http/https)
grep -E "file://" /var/log/active/platform/webdialer/*.log 2>/dev/null
grep -i "scheme=file" /var/log/active/cm/trace/dbl/*.log 2>/dev/null

# 4) WAF rule recomendada para bloquear intentos de explotacion
#    (Cisco Firepower / Snort / Suricata)
alert tcp any any -> $CUCM_POOL 443 (msg:"CVE-2026-20230 WebDialer SSRF";
  flow:established,to_server; http_uri; content:"/webdialer";
  content:"file://"; nocase; sid:2026202301; rev:1;)

🛡️ ¿Tu cluster de voz Cisco está actualizado?

En IPSecureNetwork hacemos auditorías puntuales sobre appliances Cisco Unified CM, CUCM SME y gateways de voz: revisión de versiones, validación de WebDialer, hardening de servicios expuestos, y simulación del flujo CVE-2026-20230 en un entorno controlado para confirmar que tu cluster no es vulnerable. Si manejás llamadas de producción, no esperes a que un atacante use tu PBX como puente para fraude de telecomunicaciones.

SOLICITAR AUDITORÍA →