Nuovo zero-day Cisco permette l’accesso root senza autenticazione

Una vulnerabilità critica di esecuzione di codice remoto (RCE) zero-day, identificata come CVE-2026-20045, è stata scoperta da Cisco e risulta attivamente sfruttata in attacchi attivi. Cisco ha sollecitato l’applicazione immediata delle patch e il suo team di risposta agli incidenti di sicurezza dei prodotti (PSIRT) ha confermato che ci sono stati tentativi di sfruttare questa vulnerabilità.

Cisco PSIRT ha rilevato exploit che prendono di mira sistemi non aggiornati. È probabile che gli aggressori sfruttino scanner automatici per individuare le interfacce esposte. Le aziende che utilizzano implementazioni VoIP/UC vulnerabili devono aggiornare velocemente le infrastrutture per evitare di rimanere vittime dei malintenzionati.

Il bug interessa le principali soluzioni di Unified Communications, permette a malintenzionati non autenticati di impartire comandi a loro scelta sul sistema operativo di base, acquisendo potenzialmente i privilegi di amministratore. Questa vulnerabilità interessa i seguenti prodotti Cisco, indipendentemente dalla configurazione del dispositivo:

• CM unificato ( CSCwr21851 )
• CM unificato SME ( CSCwr21851 )
• CM IM&P unificato ( CSCwr29216 )
• Connessione Unity ( CSCwr29208 )
• Istanza dedicata di Webex Calling ( CSCwr21851 )

Non sono state individuate alternative. Nelle configurazioni VoIP aziendali esposte tramite firewall o VPN, l’accesso di rete all’interfaccia di gestione è un requisito per lo sfruttamento, che è una circostanza comune.

Il problema, riporta Cisco nel suo avviso, deriva da una convalida non corretta dell’input fornito dall’utente nelle richieste HTTP all’interfaccia di gestione basata sul web. Un aggressore invia richieste HTTP contraffatte che aggirano l’autenticazione, eseguono comandi a livello utente e quindi elevano i privilegi a livello root. Cisco ha classificato il problema come Critico tramite Security Impact Rating (SIR), ignorando il punteggio CVSS a causa dei rischi a livello root.

Cisco ha confermato che questa vulnerabilità non riguarda i seguenti prodotti Cisco:

• Proxy SIP del Contact Center
• Piattaforma di collaborazione con i clienti
• soccorritore di emergenza
• Finezza
• Contact Center Enterprise in pacchetto (CCE in pacchetto)
• Distribuzione di Prime Collaboration
• Centro di contatto unificato aziendale (CCE unificato)
• Centro di contatto unificato Express (CCX unificato)
• Centro di intelligence unificato (CUIC)
• Browser vocale virtualizzato

CISA ha aggiunto presto questa vulnerabilità alle vulnerabilità note sfruttate.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks