Eine äußerst kritische Sicherheitslücke wurde in mehreren Cisco Unified Communications-Produkten entdeckt und wird bereits aktiv in freier Wildbahn ausgenutzt. Die als CVE-2026-20045 bezeichnete Schwachstelle ermöglicht es Angreifern, ohne jegliche Authentifizierung vollständige Kontrolle über betroffene Systeme zu erlangen. Cisco hat dieser Schwachstelle einen CVSS-Score von 8.2 zugewiesen, stuft sie jedoch aufgrund der Möglichkeit zur Root-Rechte-Eskalation als kritisch ein. Das Cisco Product Security Incident Response Team bestätigt, dass die Lücke bereits für Angriffe missbraucht wird, was ein sofortiges Handeln aller Betreiber betroffener Systeme erforderlich macht.
Die Schwachstelle betrifft eine breite Palette von Cisco-Produkten, darunter Cisco Unified Communications Manager in allen seinen Varianten, die Session Management Edition, den IM & Presence Service, Cisco Unity Connection sowie Webex Calling Dedicated Instances. Besonders problematisch ist, dass alle Versionen dieser Produkte betroffen sind, unabhängig von ihrer spezifischen Konfiguration. Die Schwachstelle entsteht durch eine unzureichende Validierung von Benutzereingaben in HTTP-Anfragen an die webbasierte Verwaltungsoberfläche dieser Systeme. Angreifer können speziell präparierte HTTP-Anfragen an das Management-Interface senden, typischerweise über Port 8443, und dadurch beliebige Befehle auf dem zugrunde liegenden Betriebssystem ausführen. Was die Situation besonders bedrohlich macht, ist die Tatsache, dass für einen erfolgreichen Angriff keine Authentifizierung erforderlich ist und Angreifer ihre Rechte anschließend auf Root-Ebene eskalieren können.
Die technische Analyse zeigt, dass Angreifer eine Sequenz von manipulierten HTTP-Anfragen an Endpunkte wie den cucm-uds-Service senden können. Diese Anfragen enthalten Command-Injection-Payloads, die es ermöglichen, zunächst mit Benutzerrechten Code auszuführen und dann durch eine zweite Stufe Root-Privilegien zu erlangen. Die öffentlich verfügbaren Exploit-Codes demonstrieren verschiedene Angriffsvektoren, von der einfachen Ausführung von Systembefehlen über das Etablieren von Reverse-Shells bis hin zum Download und der Ausführung weiterer Schadprogramme. In Laborumgebungen konnte nachgewiesen werden, dass ein erfolgreicher Exploit innerhalb von Sekunden vollständige Systemkontrolle ermöglicht, einschließlich der Fähigkeit, alle Kommunikationsdaten abzugreifen, Telefonie-Systeme zu manipulieren und sich lateral im Netzwerk zu bewegen.
Cisco hat umgehend Patches und Software-Updates veröffentlicht, die diese Schwachstelle beheben. Für Systeme, die auf Version 14 laufen, steht das Update 14SU5 zur Verfügung, alternativ können spezifische Patch-Dateien im COP-Format angewendet werden. Für Version 15 wird das für März 2026 angekündigte Update 15SU4 empfohlen, wobei auch hier bereits jetzt Interim-Patches verfügbar sind. Systeme, die noch auf der veralteten Version 12.5 betrieben werden, müssen zwingend auf eine neuere, gepatchte Version migriert werden, da für diese alte Version keine Patches mehr bereitgestellt werden. Die Patch-Dateien sind versionsspezifisch und müssen genau auf die jeweils installierte Software-Version abgestimmt werden, weshalb die mitgelieferten README-Dokumente unbedingt konsultiert werden sollten.
Für Organisationen, die nicht in der Lage sind, sofort zu patchen, sind temporäre Schutzmaßnahmen unerlässlich. Die wichtigste Maßnahme besteht darin, den Zugriff auf die Management-Interfaces strikt zu beschränken und jegliche Exposition zum Internet zu unterbinden. Firewall-Regeln sollten so konfiguriert werden, dass nur explizit autorisierte IP-Adressen auf Port 8443 und andere Management-Ports zugreifen können. Der administrative Zugriff sollte ausschließlich über VPN-Verbindungen erfolgen. Eine strikte Netzwerk-Segmentierung ist ebenfalls wichtig, um im Falle einer Kompromittierung die laterale Bewegung von Angreifern zu erschweren. Diese Maßnahmen können das Risiko signifikant reduzieren, sind jedoch keinesfalls ein Ersatz für das Einspielen der offiziellen Patches.
