Eine Anfang des Monats von Cisco ausgebesserte Schwachstelle in Ciscos Unified Communications Manager ermöglicht Angreifern, Dateien hochzuladen und ihre Rechte dabei auf „root“ auszuweiten. Ein Update steht seitdem bereit. Jetzt haben IT-Forscher Angriffe auf die Sicherheitslücke beobachtet.

Die Analysten von DefusedCyber schreiben auf X, dass sie den Missbrauch der Schwachstelle CVE-2026-20230 am vergangenen Wochenende beobachtet haben. Es handelt sich um eine Server-Side Request Forgery (SSRF), bei der Angreifer Zugriff auf interne, geschützte Netzwerke erhalten. Einige HTTP-Anfragen werden laut Ciscos Mitteilung nicht korrekt geprüft, sodass nicht authentifizierte Angreifer aus dem Netz sogar schreibenden Zugriff auf das Betriebssystem und dabei root-Rechte erlangen können (CVE-2026-20230, CVSS 8.6, Risiko „hoch“). Cisco hat abweichend von der CVSS-Bewertung das Risiko jedoch als „kritisch“ eingeschätzt – offenbar zu Recht.

DefusedCyber schreiben, dass vorheriger Missbrauch nicht bekannt war und dass die CISA die Lücke noch nicht in ihrem „Known Exploited Vulnerabilities“-Katalog auflistet. Zunächst haben die IT-Forscher lediglich eine Quell-IP ausgemacht, von der Attacken mit einem Proof-of-Concept-Exploit erfolgten. Der PoC hat mit „file://“-URLs versucht, Schadcode auf das System zu schreiben. Am Mittwoch hat DefusedCyber auf LinkedIn nachgelegt und berichtet von automatisierten Scans aus dem Tor-Netzwerk, die Webshells auf anfällige Geräte verfrachten.