Krytyczna luka (CVE-2026-20045) w CISCO Unified Communications – aktywnie wykorzystywana

W produktach CISCO Unified Communications wykryto podatność CVE-2026-20045, która może zostać aktywnie wykorzystana. Atak możliwy jest do przeprowadzenia zdalnie i bez uwierzytelnienia przez webowy interfejs zarządzania, a jego skutkiem będzie wykonanie poleceń w systemie i eskalacja uprawnień do root.

Co to oznacza w praktyce (ryzyko biznesowe, nie tylko „IT”)

Jeżeli w Twojej organizacji działa telefonia/UC na tych komponentach, luka może oznaczać:

• ryzyko przejęcia systemu obsługującego komunikację (telefonia, presence, poczta głosowa),
• potencjalny dostęp do konfiguracji usług i danych powiązanych z UC,
• możliwość użycia przejętego serwera jako punktu do dalszych działań w sieci (w zależności od segmentacji i uprawnień).

Kogo dotyczy (najczęściej spotykane wdrożenia)

Podatność obejmuje m.in.:

• Unified Communications Manager (Unified CM)
• Unified CM Session Management Edition (SME)
• Unified CM IM & Presence (IM&P)
• Unity Connection
• Webex Calling Dedicated Instance

Jak wygląda scenariusz ataku (dlaczego „pilne”)

Atakujący może wysłać sekwencję spreparowanych żądań HTTP do webowego interfejsu zarządzania. Będzie to skutkowało uzyskaniem dostępu na poziomie użytkownika systemu operacyjnego, a następnie eskalacja do root.

Dodatkowo CISA umieściła CVE-2026-20045 w katalogu KEV (Known Exploited Vulnerabilities) z terminem pilności do 11 lutego 2026 – to jednoznaczny sygnał „realne wykorzystanie w atakach”.

Co zrobić teraz – plan działań

1) Triage „dziś” (0-24h)

1. Sprawdź ekspozycję panelu zarządzania – jeśli interfejs webowy zarządzania jest dostępny z Internetu → odetnij natychmiast (VPN / allowlista / dostęp tylko z sieci administracyjnej). To nie jest pełna naprawa, ale znacząco zmniejsza ryzyko.
2. Zidentyfikuj wersje i komponenty – spisz instancje: Unified CM / IM&P / Unity Connection / Webex Calling DI oraz wersje i linie wydań.

2) Remediacja „ASAP” (patch / upgrade)

CISCO udostępniło aktualizacje/patche dla podatnych wydań (szczegóły są zależne od wersji). W komunikacji rynkowej przewija się m.in.:

• dla linii 14 – docelowe wydanie naprawcze (np. 14SU5) lub odpowiedni patch,
• dla linii 15 – docelowe wydanie naprawcze (np. 15SU4) lub odpowiedni patch,
• dla 12.5 – w praktyce może być potrzebna migracja/upgrade do wspieranej linii (zgodnie z zaleceniami producenta i dostępnymi poprawkami).

Najważniejsze: CISCO wskazuje, że kluczowe są aktualizacje zgodnie z advisory – to źródło prawdy o tym, które wydania są podatne i jakie pliki instalować.

https://sec.cloudapps.CISCO.com/security/center/content/CISCOSecurityAdvisory/CISCO-sa-voice-rce-mORhqY4b

3) Weryfikacja po wdrożeniu (czy nie było włamania)

Po zastosowaniu poprawek rekomendujemy szybki przegląd:

• logów i zdarzeń web GUI,
• zmian w kontach i uprawnieniach,
• nietypowych procesów/połączeń wychodzących na serwerach UC.

FAQ (dla osób nietechnicznych)

Czy to dotyczy mnie, jeśli „mamy tylko telefonię”?
Tak – problem dotyczy platformy UC (systemu), nie „samych aparatów”. Jeśli Twoja telefonia/UC opiera się o wymienione komponenty, temat jest istotny.

Czy odcięcie dostępu z Internetu wystarczy?
To ważny krok ograniczający ryzyko, ale nie zastępuje patchowania. Remedium jest aktualizacja wg zaleceń producenta.