Wenn der CVSS-Score lügt: Root-Zugriff durch Datei-Write in Cisco Unified CM
Cisco hat eine bedrohliche Sicherheitslücke in seiner Unified Communications Manager (Unified CM) Plattform geschlossen, die es Angreifern ermöglicht, vollständige Kontrolle über betroffene Systeme zu erlangen. Die als CVE-2026-20230 getrackte Schwachstelle ist ein klassischer Fall von „die Gefahr ist größer, als der Score vermuten lässt“. Denn während der CVSS-Base-Score „nur“ bei 8.6 liegt, stuft Cisco die Auswirkungen selbst als Critical ein – und das aus gutem Grund.
Die Technik: SSRF als Steigbügler für Root-Rechte
Im Kern handelt es sich bei der Schwachstelle um eine Server-Side Request Forgery (SSRF). Unified CM und die Session Management Edition (SME) validieren bestimmte eingehende HTTP-Anfragen unzureichend. Ein unauthentifizierter Angreifer im lokalen Netzwerk kann eine speziell gestaltete Anfrage an den Server senden, die diesen dazu bringt, beliebige Dateien auf dem zugrundeliegenden Betriebssystem abzulegen.
Dieser Datei-Write ist jedoch nur der erste Schritt – der Fuß in der Tür. Cisco warnt explizit, dass diese initial geschriebenen Dateien als Sprungbrett für eine weitere Privilegieneskalation genutzt werden können, die dem Angreifer am Ende volle Root-Rechte gewährt. Root-Zugriff auf einem Communications-Manager bedeutet: Totale Kontrolle über die gesamte Telefonie-Infrastruktur eines Unternehmens.
Die Diskrepanz zwischen CVSS und Realität
Warum liegt der CVSS-Score nur bei 8.6, wenn das Endresultat doch Root-Zugriff ist? Die Antwort offenbart eine bekannte Schwäche des CVSS-Systems. Der Score von 8.6 bewertet ausschließlich den initialen Datei-Write. Dieser führt primär zu einem Integritätsverlust (Integrity Impact), aber nicht zwingend zu einem unmittelbaren Verlust von Vertraulichkeit (Confidentiality) oder Verfügbarkeit (Availability). Die nachfolgende Eskalation zu Root wird im Base-Score nicht abgebildet. Cisco hat den Advisory dennoch als Critical eingestuft, da der faktische Endzustand des Angriffs die vollständige Systemkompromittierung ist. Für Administratoren ist das eine wichtige Lektion: Ein CVSS-Score erzählt oft nur die halbe Geschichte.
Der WebDialer als Flaschenhals
Es gibt einen mildernden Umstand: Die Schwachstelle lässt sich nur ausnutzen, wenn der WebDialer-Service aktiv ist. Standardmäßig wird dieser Service von Cisco deaktiviert ausgeliefert. Das ist zwar ein Glück im Unglück, hilft aber jenen Deploymenten nicht, die den Dienst explizit aktiviert haben.
Admins können den Status in der Cisco Unified CM Administration prüfen. Unter dem Wechsel zu Cisco Unified Serviceability im Bereich Tools > Control Center - Feature Services findet sich im Abschnitt CTI Services der Status des Cisco WebDialer Web Service. Steht dort „Started“, ist das System angreifbar.
Das Patch-Dilemma: Monate bis zum Release 15SU5
Patching ist die einzig wahre Lösung, doch hier wird es für viele Administratoren kritisch. Für die Version 14 steht mit 14SU6 ein passendes Update zur Verfügung. Für den 15-Train sieht die Realität jedoch anders aus: Das vollständige Service Update (15SU5) ist laut Cisco erst für September 2026 angekündigt – Monate in der Zukunft.
Bis dahin bleibt Administratoren nur der Weg über einen interimistischen COP-Patch. Wer diesen nicht zügig einspielen kann oder will, muss den WebDialer-Service zwingend deaktivieren (unter Tools > Service Activation den Haken entfernen und speichern). In komplexen Enterprise-Umgebungen kann allein das already eine Herausforderung sein, falls Business-Prozesse auf den WebDialer angewiesen sind.
Ein Muster zeigt sich: Unified CM als Dauer-Brennstoff
CVE-2026-20230 ist kein Ausrutscher. Ciscos Unified CM hat sich in der jüngeren Vergangenheit als stetige Quelle für unauthentifizierte Root-Level-Probleme erwiesen.
- Erst im Juli vergangenen Jahres musste Cisco ein hartcodiertes Root-SSH-Konto schließen, das versehentlich aus der Entwicklungsphase in die Produktion übernommen wurde (CVE-2025-20309, CVSS 10.0).
- Im Januar wurde eine unauthentifizierte Remote Code Execution (RCE) über mehrere Sprachprodukte hinweg gepatcht (CVE-2026-20045). Diese war bereits aktiv in the wild ausgenutzt worden und landete umgehend auf der Known-Exploited-Vulnerabilities-Liste der CISA.
Das Muster ist besorgniserregend: Anfragen, die niemals sensible Systemebenen erreichen dürften, gelangen dorthin. Bei Voice-Infrastrukturen ist das besonders fatal, da sie oft als trusted insider-Systeme behandelt und weniger stark überwacht werden als klassische Web-Server.
Fazit: Die Uhr tickt
Mit einem öffentlichen Proof-of-Concept (PoC) verkürzt sich die Zeitspanne bis zur massenhaften Ausnutzung drastisch. Die Entdeckung geht auf einen unabhängigen Forscher zurück, der mit SSD Secure Disclosure zusammenarbeitete. Die Kombination aus einem öffentlichen PoC, der bekannten Verzögerung beim 15SU5-Release und der Tatsache, dass Voice-Systeme hochattraktive Ziele sind, ergibt eine hochvolatile Situation.
Administratoren sollten umgehend den WebDialer-Status prüfen. Ist er aktiv, gibt es keine Ausrede: Entweder den interim COP-Patch installieren oder den Dienst bis auf Weiteres abschalten. Wer darauf wartet, dass Angreifer den File-Write in einen voll funktionsfähigen Angriff übersetzen, hat das Zeitfenster bereits verpasst.
Quelle: The Hacker News
