Cisco Unified Communications Manager (Unified CM / SME) の SSRF 脆弱性 CVE-2026-20230 (CVSS 8.6) を悪用する自動化攻撃が 6月24日までに観測されました。脆弱性研究組織 Defused のハニーポットは Tor 経由のスキャンと 3 段階構成の JSP webshell 投入を確認しており、Cisco が 6月3日に公開したパッチを未適用の機器がリスクに晒されています。
主なポイント
- 脆弱性は WebDialer サービスが /platform-services/axis2-web/ 配下に任意ファイルを書き込めることに起因し、SSRF と組み合わせて root 級の RCE へ昇格可能
- 観測された攻撃は WebDialer SSRF で偽 Apache Axis を立て、第 1 段で JSP ファイルライター、第 2 段でコマンド実行用シェルを設置する三段階構成
- 投下された webshell は /platform-services/axis2-web/ 下に残るため、パッチ適用とサーバ再起動だけでは排除できない。痕跡有無の確認とフォレンジックが必要
- 影響は Unified CM 14SU6 / 15SU5 (9月予定) 以前のリリースおよび暫定 COP パッチ未適用環境。WebDialer はデフォルト無効だが有効化済みの企業が標的
- Defused は週末 (21〜22 日) からのフィンガープリント試行を経て、24 日から本格的な webshell ドロップ段階に切り替わったと指摘
出典: Cisco Unified CM flaw exploited to drop webshells (CVE-2026-20230) - Help Net Security