Kerentanan Cisco Unified CM CVE-2026-20230 Dieksploitasi, Ancaman File-Write ke Root

Kerentanan serius pada Cisco Unified Communications Manager (Unified CM) dan Unified CM Session Management Edition (Unified CM SME) kini telah dieksploitasi secara aktif di dunia maya. Dikenal dengan kode CVE-2026-20230 dengan skor CVSS 8.6, celah ini memungkinkan penyerang jarak jauh tanpa otentikasi untuk melakukan serangan server-side request forgery (SSRF) pada perangkat yang terdampak.

Detail Kerentanan dan Cara Eksploitasi

Menurut pengumuman resmi Cisco, celah ini terjadi akibat input validation yang kurang tepat pada permintaan HTTP tertentu.

"Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan permintaan HTTP yang dirancang khusus ke perangkat yang terdampak,"

Kelompok keamanan Defused Cyber mengonfirmasi adanya aktivitas eksploitasi melalui sebuah PoC (proof of concept) yang belum diverifikasi secara luas. Mereka mencatat bahwa payload file:// bernuansa file-write telah mendarat pada sistem umpan yang mereka pasang sebagai jebakan.

Peran Layanan WebDialer dalam Eksploitasi

Untuk dapat berhasil melakukan eksploitasi, layanan WebDialer harus dalam keadaan aktif. Namun, secara default, layanan WebDialer ini dalam kondisi nonaktif. Pengguna dapat memeriksa statusnya dengan langkah berikut:

1. Login ke antarmuka administrasi Cisco Unified CM
2. Pilih menu Cisco Unified Serviceability dan klik Go
3. Dari menu Tools, pilih Control Center - Feature Services
4. Di bagian CTI Services, periksa apakah status Cisco WebDialer Web Service menunjukkan Started atau Not Running
5. Jika statusnya Started, berarti WebDialer aktif dan sistem berisiko

Pembaruan dan Mitigasi yang Disarankan

Cisco telah merilis patch untuk Unified CM dan Unified CM SME versi 14SU6 dan 15SU5. Pengguna sangat disarankan untuk segera mengaplikasikan pembaruan tersebut guna menutup celah keamanan ini. Jika pembaruan tidak dapat dilakukan segera, disarankan untuk menonaktifkan layanan WebDialer sampai patch tersedia dan diterapkan.

Selain itu, SSD Secure Disclosure mengungkapkan rincian teknis lebih lanjut, menjelaskan bahwa celah ini memungkinkan penyerang tanpa otentikasi menulis file secara sewenang-wenang di server dengan memanfaatkan komponen WebDialer untuk mendapatkan hostname asli target dan pada akhirnya mengeksekusi kode berbahaya.

Hingga saat ini, Cisco belum memperbarui advisori mereka untuk mencerminkan status eksploitasi aktif ini. Sebelumnya, minggu lalu, Cisco juga mengeluarkan pembaruan keamanan untuk kerentanan sedang di Catalyst SD-WAN Manager (CVE-2026-20262, skor CVSS 6.5) yang juga sudah mulai dieksploitasi.

Analisis Redaksi

Menurut pandangan redaksi, eksploitasi aktif dari CVE-2026-20230 ini menandai ancaman serius bagi organisasi yang mengandalkan Cisco Unified CM, khususnya jika layanan WebDialer diaktifkan tanpa pengamanan ketat. Langkah pengamanan proaktif seperti patching dan menonaktifkan fitur yang tidak diperlukan menjadi sangat krusial. Hal ini juga menunjukkan bagaimana celah yang awalnya hanya dianggap teknis dapat dengan cepat menjadi vektor serangan nyata di lapangan.

Lebih jauh, eksploitasi ini memperingatkan industri keamanan jaringan bahwa komponen fitur tambahan dalam solusi komunikasi sering kali menjadi titik lemah yang kurang diperhatikan. Organisasi harus meningkatkan pengawasan atas layanan yang berjalan dan memastikan konfigurasi default yang aman.

Ke depan, penting untuk terus memantau update dari Cisco dan komunitas keamanan terkait eksploitasi ini dan celah serupa lainnya. Pengguna Cisco Unified CM disarankan untuk segera melakukan audit sistem, menerapkan patch terbaru, dan mengikuti panduan mitigasi resmi agar terhindar dari potensi serangan yang dapat mengakibatkan pencurian data atau kontrol sistem penuh oleh penyerang.

Untuk informasi lebih lanjut dan update terkini, pengguna dapat mengikuti berita keamanan jaringan pada kanal terpercaya seperti The Hacker News dan situs resmi Cisco.