Um único request e um arquivo arbitrário dentro do seu servidor: hackers exploram nova falha em telefonia corporativa da Cisco
Uma nova vulnerabilidade, CVE-2026-20230, em servidores Cisco Unified Communications Manager permite que atacantes remotos criem arquivos no sistema operacional sem autenticação. A falha, classificada com 8.6 na escala CVSS, pode levar à escalonamento de privilégios e controle total do dispositivo.
MundiX News·25 de junho de 2026·6 min de leitura·👁 2 views
Uma falha de segurança crítica, identificada como CVE-2026-20230, está sendo ativamente explorada por hackers em servidores de telefonia corporativa da Cisco. Essa vulnerabilidade permite que um atacante remoto, sem a necessidade de login ou senha, force o servidor a criar um arquivo no sistema operacional. Em cenários de exploração mais avançados, essa brecha pode conceder ao invasor privilégios de root, garantindo controle total sobre o dispositivo comprometido.
A Cisco já lançou atualizações para corrigir o problema em 3 de junho, atribuindo à vulnerabilidade uma pontuação de 8.6 na escala CVSS (Common Vulnerability Scoring System), indicando um alto nível de risco. A falha afeta especificamente os produtos Cisco Unified Communications Manager e Unified Communications Manager Session Management Edition, ambos cruciais para o gerenciamento de chamadas e roteamento de tráfego em infraestruturas de telefonia corporativa. A exploração bem-sucedida pode resultar em escalonamento de privilégios, dando ao atacante acesso a configurações sensíveis, logs e outros dados administrativos.
A raiz do problema reside no componente WebDialer, que facilita a iniciação de chamadas através de navegadores e aplicativos. O WebDialer aceita endereços fornecidos pelo usuário, mas falha em validar adequadamente certos HTTP requests. Um atacante pode enviar um request especialmente elaborado para enganar o servidor, fazendo com que ele interprete um caminho de arquivo local como um endereço válido. Esse tipo de ataque é conhecido como SSRF (Server-Side Request Forgery), que normalmente força um servidor a acessar um recurso escolhido pelo atacante. No entanto, a CVE-2026-20230 vai além, permitindo não apenas o acesso a caminhos locais, mas também a escrita de arquivos com conteúdo arbitrário no sistema operacional.
A vulnerabilidade foi inicialmente descoberta pela empresa SSD Secure. Embora detalhes técnicos não tenham sido divulgados publicamente no momento da descoberta, após os primeiros relatos de exploração, a SSD Secure publicou uma análise detalhada e um código de demonstração, ilustrando como o WebDialer processa endereços de usuário e como a falha permite a escrita de arquivos arbitrários no servidor. A empresa Defused relatou tentativas de exploração em suas redes de honeypot, que simulam dispositivos vulneráveis para coletar dados sobre ataques. Os requests observados provinham de um único endereço IP e continham chamadas corretamente formatadas para arquivos locais usando o protocolo file://. No entanto, até o momento da observação, não havia sinais de instalação de web shells ou tomada de controle de servidores, mas sim a criação de arquivos de texto no diretório /tmp para verificar a resposta do servidor à requisição vulnerável.
A atividade atual sugere uma fase de reconhecimento, onde os operadores de ataque buscam servidores desatualizados e testam a capacidade de escrever arquivos no sistema. A disponibilidade de descrições técnicas e códigos de demonstração aumenta o risco de que outras grupos utilizem essa mesma falha para instalar web shells e obter privilégios de root. Para que o ataque seja bem-sucedido, o atacante precisa, inicialmente, descobrir o nome do servidor alvo. A SSD Secure demonstrou que o próprio dispositivo revela essas informações antes mesmo da escrita do arquivo, minimizando esse obstáculo. No momento das observações, a vulnerabilidade ainda não havia sido incluída no catálogo CISA Known Exploited Vulnerabilities. Administradores de Cisco Unified CM e Unified CM SME são fortemente aconselhados a aplicar as atualizações da Cisco e monitorar os logs do WebDialer em busca de requests suspeitos para caminhos locais. A Cisco não ofereceu uma solução alternativa sem a aplicação da atualização. As honeypots da Defused continuam a registrar apenas a verificação da vulnerabilidade, mas a capacidade de escrever arquivos sem autorização torna a CVE-2026-20230 particularmente perigosa para servidores acessíveis a partir de redes não confiáveis. As primeiras tentativas de exploração também foram confirmadas pelo SecurityWeek.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Uma falha de segurança crítica, identificada como CVE-2026-20230, está sendo ativamente explorada por hackers em servidores de telefonia corporativa da Cisco. Essa vulnerabilidade permite que um atacante remoto, sem a necessidade de login ou senha, force o servidor a criar um arquivo no sistema operacional. Em cenários de exploração mais avançados, essa brecha pode conceder ao invasor privilégios de root, garantindo controle total sobre o dispositivo comprometido.
A Cisco já lançou atualizações para corrigir o problema em 3 de junho, atribuindo à vulnerabilidade uma pontuação de 8.6 na escala CVSS (Common Vulnerability Scoring System), indicando um alto nível de risco. A falha afeta especificamente os produtos Cisco Unified Communications Manager e Unified Communications Manager Session Management Edition, ambos cruciais para o gerenciamento de chamadas e roteamento de tráfego em infraestruturas de telefonia corporativa. A exploração bem-sucedida pode resultar em escalonamento de privilégios, dando ao atacante acesso a configurações sensíveis, logs e outros dados administrativos.
A raiz do problema reside no componente WebDialer, que facilita a iniciação de chamadas através de navegadores e aplicativos. O WebDialer aceita endereços fornecidos pelo usuário, mas falha em validar adequadamente certos HTTP requests. Um atacante pode enviar um request especialmente elaborado para enganar o servidor, fazendo com que ele interprete um caminho de arquivo local como um endereço válido. Esse tipo de ataque é conhecido como SSRF (Server-Side Request Forgery), que normalmente força um servidor a acessar um recurso escolhido pelo atacante. No entanto, a CVE-2026-20230 vai além, permitindo não apenas o acesso a caminhos locais, mas também a escrita de arquivos com conteúdo arbitrário no sistema operacional.
A vulnerabilidade foi inicialmente descoberta pela empresa SSD Secure. Embora detalhes técnicos não tenham sido divulgados publicamente no momento da descoberta, após os primeiros relatos de exploração, a SSD Secure publicou uma análise detalhada e um código de demonstração, ilustrando como o WebDialer processa endereços de usuário e como a falha permite a escrita de arquivos arbitrários no servidor. A empresa Defused relatou tentativas de exploração em suas redes de honeypot, que simulam dispositivos vulneráveis para coletar dados sobre ataques. Os requests observados provinham de um único endereço IP e continham chamadas corretamente formatadas para arquivos locais usando o protocolo file://. No entanto, até o momento da observação, não havia sinais de instalação de web shells ou tomada de controle de servidores, mas sim a criação de arquivos de texto no diretório /tmp para verificar a resposta do servidor à requisição vulnerável.
A atividade atual sugere uma fase de reconhecimento, onde os operadores de ataque buscam servidores desatualizados e testam a capacidade de escrever arquivos no sistema. A disponibilidade de descrições técnicas e códigos de demonstração aumenta o risco de que outras grupos utilizem essa mesma falha para instalar web shells e obter privilégios de root. Para que o ataque seja bem-sucedido, o atacante precisa, inicialmente, descobrir o nome do servidor alvo. A SSD Secure demonstrou que o próprio dispositivo revela essas informações antes mesmo da escrita do arquivo, minimizando esse obstáculo. No momento das observações, a vulnerabilidade ainda não havia sido incluída no catálogo CISA Known Exploited Vulnerabilities. Administradores de Cisco Unified CM e Unified CM SME são fortemente aconselhados a aplicar as atualizações da Cisco e monitorar os logs do WebDialer em busca de requests suspeitos para caminhos locais. A Cisco não ofereceu uma solução alternativa sem a aplicação da atualização. As honeypots da Defused continuam a registrar apenas a verificação da vulnerabilidade, mas a capacidade de escrever arquivos sem autorização torna a CVE-2026-20230 particularmente perigosa para servidores acessíveis a partir de redes não confiáveis. As primeiras tentativas de exploração também foram confirmadas pelo SecurityWeek.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
