美国网络安全和基础设施安全局(CISA)发布紧急警报,确认思科统一通信产品中存在一个0Day远程代码执行(RCE)漏洞正被积极利用。该漏洞编号为CVE-2026-20045,攻击者可借此发起代码注入攻击,首先获取底层操作系统的用户级访问权限,随后实现完整的root权限提升。
漏洞概况与影响范围
2026年1月21日,该漏洞被列入CISA已知被利用漏洞(KEV)目录,联邦机构必须在2026年2月11日前实施缓解措施或停用受影响产品。此高危漏洞源于思科通信平台的输入验证不当问题,符合CWE-94代码生成控制不当缺陷类型。攻击者可通过构造特殊网络请求注入恶意代码,在某些情况下还能绕过身份验证。
思科已发布安全公告确认该漏洞影响本地部署环境,除安装补丁外暂无其他缓解方案。受影响产品包括:
- 思科统一通信管理器(Unified CM)
- 思科统一通信管理器会话管理版(Unified CM SME)
- 思科统一通信管理器IM&P服务(Unified CM IM&P)
- 思科Unity Connection
- 思科Webex Calling专用实例
攻击向量与利用方式
企业语音和协作环境面临高风险,这些产品通常将管理接口暴露在互联网上。攻击者无需认证即可远程利用该漏洞,向CTI Manager或AXLE等暴露服务发送畸形数据包。注入的代码将在Web服务器进程上下文中执行,攻击者可借此通过cron作业或后门实现持久化,再利用已知本地提权路径获取root权限。
早期迹象表明,威胁行为者正将该漏洞与网络钓鱼或供应链攻击结合使用,重点针对呼叫中心和UCaaS提供商。思科敦促用户立即升级至以下修补版本:
- Unified CM:14SU2.7或更高版本
- Unity Connection:14SU2.7或更高版本
- IM&P:14SU3或更高版本
防护建议与风险警示
CISA强调应采用零信任原则:假设已遭入侵并积极搜寻入侵指标(IOC),如异常的root进程或注入的Webshell。该0Day漏洞凸显了传统UC基础设施的持续风险,补丁延迟会使组织面临勒索软件或间谍活动威胁。
目前尚未出现公开的PoC,但地下论坛已有漏洞利用工具出售。安全团队应交叉参考CISA KEV目录和思科PSIRT获取最新信息。
参考来源:
CISA Warns of Cisco Unified CM 0-Day RCE Vulnerability Exploited in Attacks
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)