Доступ root без аутентификации и захват сервера: в системах связи Cisco обнаружена критическая уязвимость, которой уже пользуются злоумышленники

Компания Cisco подтвердила факты компрометации корпоративных серверов, произошедшие из-за уязвимости в веб-панелях администрирования.

Производитель выпустил внеплановый патч, устраняющий уязвимость нулевого дня, которая позволяет атакующему удалённо получить контроль над сервером без прохождения какой-либо аутентификации.

Уязвимость получила идентификатор CVE-2026-20045 и затрагивает ряд широко используемых продуктов Cisco, среди которых Unified Communications Manager, Session Management Edition, IM & Presence Service, Cisco Unity Connection, а также Webex Calling Dedicated Instance. Проблема локализована в веб-интерфейсах управления и позволяет злоумышленнику выполнять произвольный код напрямую на уровне операционной системы. В наиболее опасном сценарии это приводит к получению root-доступа и полной потере контроля над системой.

Хотя формально уязвимость получила оценку High по шкале CVSS, специалисты Cisco PSIRT классифицировали её как Critical. Такое решение объясняется тем, что успешная эксплуатация фактически означает полный захват сервера. В компании заявили, что располагают сведениями о реальных атаках, происходящих за пределами тестовых сред, и настоятельно рекомендовали клиентам незамедлительно установить обновления.

При этом Cisco не сообщает, какое количество организаций уже пострадало, имели ли место утечки данных и кто может стоять за атаками. Также не раскрывается информация о конкретных целях злоумышленников. В официальном бюллетене указано, что причина уязвимости связана с ошибками в обработке пользовательских данных в HTTP-запросах к интерфейсу управления. Для атаки достаточно отправить специально сформированную цепочку запросов, при этом прохождение авторизации не требуется.

Учитывая, что такие панели часто доступны из внутренних сетей или через VPN, повышенный интерес к ним со стороны атакующих выглядит закономерным. Ситуацию осложняет и отсутствие временных мер защиты: компания не предложила никаких обходных решений. Фактически у администраторов есть единственный способ снизить риски — как можно быстрее установить исправления и надеяться, что сервер не будет атакован до завершения обновления.

Стоит отметить, что это уже не первый серьёзный инцидент для Cisco в текущем году. Всего несколько дней назад компания выпускала экстренные патчи для устранения другой критической уязвимости удалённого выполнения кода в продуктах Secure Email Gateway и Secure Email and Web Manager. Теперь к этому перечню проблем добавились и решения для корпоративной телефонии и коммуникаций.

Агентство CISA уже включило CVE-2026-20045 в перечень уязвимостей, которые активно используются злоумышленниками. Для государственных организаций США это означает жёсткие сроки обязательного устранения, а для всех остальных — недвусмысленный сигнал не откладывать установку обновлений.