Cisco Unified CM高危漏洞遭攻击者积极利用
创始人
2026-06-27 21:39:37
0

一个Cisco Unified CM严重安全漏洞在补丁发布数周后,目前已遭到攻击者的积极利用。此前,Cisco已就该漏洞可能允许攻击者获取root权限发出警告并发布了补丁。

威胁情报公司Defused于6月23日报告了相关利用活动,称其在当周末观察到了攻击行为。

"目前有人正在利用一个来自单一来源、未经验证的PoC(概念验证)代码对漏洞发起攻击,格式规范的file://文件写入载荷已被记录到我们的蜜罐中。"Defused在X平台上表示。

"该漏洞源于对特定HTTP请求的输入验证不当。"Cisco在公告中指出,"攻击者可通过向受影响设备发送精心构造的HTTP请求来利用此漏洞。"

该漏洞可能允许未经身份验证的远程攻击者"通过受影响设备发动服务器端请求伪造(SSRF)攻击"。公告还指出,一旦攻击成功,攻击者可以向底层操作系统写入文件,并将权限提升至root级别。

Defused表示,此次周末的攻击活动是其记录到的针对该漏洞的首次利用行为。"此前无任何已记录的利用活动,且该漏洞尚未被列入CISA KEV(已知被利用漏洞目录)。"该公司在X帖子中写道。

早在Defused报告攻击活动的数周前,Cisco便已在公告中承认,该漏洞的概念验证利用代码已公开流传。Cisco产品安全事件响应团队(PSIRT)表示,在公告发布时尚未发现任何恶意利用行为。

Cisco未立即回应置评请求。

该漏洞影响Cisco Unified CM及Unified CM SME产品。这两款产品被企业广泛用于管理企业环境中的语音、视频、即时消息、移动办公及会议服务。

Cisco表示,如果目标系统运行的是存在漏洞的软件版本,且启用了WebDialer服务,则该漏洞可被远程利用。

"WebDialer默认处于禁用状态。"Cisco在公告中特别说明。

Cisco表示,目前尚未找到能够完全修复该漏洞的变通方案。

"目前没有任何变通方案可以解决此漏洞。"公司在公告中表示,"但作为缓解措施,管理员可在应用补丁之前禁用WebDialer服务。"

该漏洞由一名与SSD Secure Disclosure合作的独立安全研究人员向Cisco报告。

尽管Cisco的公告将该问题定性为SSRF漏洞,但SSD的分析显示,多个安全弱点可被组合利用,从而实现对受影响系统更大范围的入侵。

"Cisco CUCM产品存在多个漏洞,这些漏洞组合在一起,可让远程攻击者在服务器上写入任意文件,进而使未经身份验证的攻击者能够执行代码。"SSD Secure在技术分析报告中写道。

SSD表示,攻击链从一个SSRF漏洞开始,并可被进一步利用以向服务器写入任意文件。根据该披露,这种文件写入能力随后可被用于在受影响系统上执行代码。

Cisco表示,该漏洞无变通修复方案,建议用户升级至已修复的软件版本。Cisco Unified CM及Unified CM SME 14版本系列的修复版本为14SU6,15版本系列的修复版本将在2026年9月发布的15SU5中提供,或通过临时COP补丁获取。

目前,Cisco和Defused均未公开将攻击活动归因于特定威胁行为者,也未发布入侵指标,亦未披露是否有任何组织已通过利用该漏洞遭到成功入侵。

Q&A

A:该漏洞CVSS评分高达8.6,属于严重级别。未经身份验证的远程攻击者可利用此漏洞发动服务器端请求伪造(SSRF)攻击,进而向底层操作系统写入任意文件,并将权限提升至root级别,最终实现在受影响系统上执行任意代码,完全控制目标设备。

A:受影响产品包括Cisco Unified CM和Unified CM SME,这两款产品被企业广泛用于管理语音、视频、即时消息、移动办公及会议服务。如果系统运行的是存在漏洞的软件版本,且启用了WebDialer服务,则存在被远程利用的风险。由于WebDialer默认处于禁用状态,管理员可先检查该服务是否被开启。

A:Cisco明确表示没有可以完全解决该漏洞的变通方案。官方建议用户尽快升级至修复版本:14版本系列升级至14SU6,15版本系列升级至2026年9月发布的15SU5或使用临时COP补丁。在完成补丁升级前,可通过禁用WebDialer服务作为临时缓解措施。

相关内容

热门资讯

“用人类智慧和国际共识引领人工... 浦江浪涌,潮启新澜。上海北外滩,鳞次栉比的摩天楼宇和世界人工智能大会标识“WAIC2026”交相辉映...
时习之丨携手构建公正合理的全球... 2026年7月17日上午,国家主席习近平在上海世界会客厅出席2026世界人工智能大会暨人工智能全球治...
开放式壁挂电脑引热议:空调直吹... 2026-07-17 18:40:20 作者:狼叫兽 近日,一名网络用户展示了一种别具一格的电脑部...
王毅会见联合国秘书长古特雷斯 2026年7月17日,中共中央政治局委员、外交部长王毅在上海会见来华出席世界人工智能大会的联合国秘书...
全球首台机器人手机跳舞炫技,可... IT之家 7 月 17 日消息,荣耀机器人手机 Robot Phone 在央视新闻世界杯视频中亮相,...
原创 中... 北京时间2026年7月8日,国际权威期刊《天体物理学快报》(The Astrophysical Jo...
习近平出席2026世界人工智能... 7月17日上午,国家主席习近平在上海世界会客厅出席2026世界人工智能大会暨人工智能全球治理高级别会...
阿里千问AI眼镜将升级为智能体... IT之家 7 月 17 日消息,2026 世界人工智能大会首日,千问推出两大硬件:千问 AI 眼镜将...
原创 突... 距离学校第一次发布未发现学术不端的通报,仅仅过去了八天。这一次,校方给出的结论发生了明显变化:从此前...
【社论】从上海出发,中国方案点... 7月17日,2026世界人工智能大会暨人工智能全球治理高级别会议正式启幕,习近平主席出席开幕式并发表...