思科通信系统漏洞正被利用,CISA限3日紧急修复
一位安全研究员在周三下午调出CVE-2026-20230的利用日志,眉头紧锁。这条漏洞刚被CISA塞进“已知被利用漏洞”目录,给联邦机构的修补死线只有三天。正方观点很直接:这是个无认证的服务器端请求伪造(SSRF)漏洞,而且带文件写入和提权链,等于把企业通信中枢的钥匙挂在门外。攻击者不用任何凭证,就能让思科统一通信管理器(Unified CM)向内网系统发出恶意请求,绕过网络隔离去触碰原本不可达的服务。更棘手的在于,成功的利用能在底层操作系统写入任意文件,后续随便搭配个提权手法就能拿到root,整个主机彻底沦陷。这种预认证远程攻破路径,在红队演练里都是高分项,现实中被武器化一点都不意外。
反方则会说,这类漏洞并不新鲜。SSRF在Web应用里已经吵了十几年,很多企业早就把通信系统关在内网,外面还套着VPN和零信任策略,攻击者未必摸得到。而思科的公告也表明,受影响的产品线仅限Unified CM和Unified CM Session Management Edition,范围不算大。真有威胁的话,补丁发布前就该有大规模入侵的痕迹,可目前CISA还没把勒索软件关联标成“已知”,说明活跃利用也许只是小范围的APT侦察。
但冷静拆开漏洞的利用链,就会发现反方那种“影响有限”的假设站不住脚。SSRF在通信基础设施里的破坏力被严重低估了——通话控制、号码路由、语音邮件,这些模块经常需要与内部认证服务器、数据库甚至计费系统交互,一个伪造的请求就能穿透多层信任边界。文件写入能力则把浅层漏洞升级成了持久化驻留,植入的脚本或配置一旦被触发,从普通用户到root的跃迁只是攻击者选择哪条链的问题。近年企业入侵事件的复盘记录中,类似的多阶段组合利用并不少见,初始入口往往只是一个看似“只能读不能写”的漏洞。
真正该追问的是:为什么这种可以被远程预认证利用的漏洞会出现在通信系统的核心组件里?CISA给出的修补窗口短到只有三天,本身就说明态势远非“内网隔离就能挡住”。如果攻击者已经拿到了写文件权限,内网的任何一台Unified CM都可能变成横向移动的跳板,甚至被用来篡改录音、劫持通话。这类平台的业务连续性要求极高,往往不能轻易下线,反而给攻击者留出了清理痕迹的时间。
我的判断是:有Unified CM暴露在互联网或混合网络里的团队,不需要等威胁情报把“勒索软件关联”填成“是”再行动。CISA给出的强制限期是6月28日,这段时间应该做三件事。第一,按思科安全公告cisco-sa-cucm-ssrf-cXPnHcW直接上补丁,不必纠结临时缓解措施。第二,依照CISA的取证分拣要求翻一遍日志,重点检查来自非信任源头的异常HTTP请求和文件系统写入事件,寻找失陷指标。第三,如果补丁会影响业务,就先把外围的访问控制收紧,切断一切非必要的管理端口暴露,因为漏洞的利用不挑身份,任何能向服务器发请求的路径都是潜在攻击面。
SSRF加任意文件写的组合,在通信平台里从来不该被当成“可接受风险”。这就像大楼的消防通道被放了张碎纸机,看起来只是多了件杂物,实则火灾时会被完全堵死。现在碎纸机已经在原地冒烟了,等火烧过来再挪就晚了。
页:
[1]