美国网络安全与基础设施安全局(CISA)近日发布高优先级安全通告,证实思科统一通信系列产品中存在一处正在被现实攻击利用的 0Day 远程代码执行漏洞。该漏洞编号为 CVE-2026-20045,攻击者可通过远程注入恶意代码,先获得操作系统普通用户权限,随后进一步完成 root 级权限提升,对系统形成完全控制。
2026 年 1 月 21 日,CISA 已将该漏洞正式纳入 已知被利用漏洞(KEV)清单,并要求美国联邦机构最迟于 2026 年 2 月 11 日 前完成修复或停止使用相关系统。
分析显示,该漏洞源于思科通信平台在输入校验环节存在缺陷,属于 CWE-94(代码生成控制不当) 类型问题。在特定条件下,攻击者甚至能够绕过身份验证机制,直接执行任意代码。
思科随后发布安全公告,确认该问题仅影响 本地部署环境,且目前除安装官方补丁外不存在其他可行的缓解手段。
已确认存在风险的产品包括:
Cisco Unified Communications Manager(Unified CM)
Cisco Unified CM Session Management Edition(SME)
Cisco Unified CM IM & Presence 服务(IM&P)
Cisco Unity Connection
Cisco Webex Calling 专用实例
由于企业语音与协作系统通常需要对外开放管理接口,该漏洞在实际环境中具备较高可利用性。攻击者可在 无需身份认证 的情况下,向 CTI Manager、AXLE 等对外暴露的服务发送构造异常请求,使恶意代码在 Web 服务进程上下文中执行。
成功利用后,攻击者可能通过部署 cron 任务、后门程序 等方式实现持久化控制,并结合现有本地提权手段完成 root 权限获取,从而全面接管系统。
已有迹象显示,部分威胁组织正将该漏洞与 网络钓鱼或供应链攻击 配合使用,重点攻击呼叫中心系统及 UCaaS 服务提供商。
思科强烈建议用户尽快升级至以下安全版本:
Unified CM:14SU2.7 及以上
Unity Connection:14SU2.7 及以上
IM&P:14SU3 及以上
CISA 提醒组织应采用 零信任防御思路,在完成补丁部署的同时,主动开展入侵排查工作,重点关注异常 root 进程、可疑 WebShell 文件等入侵指标(IOC)。
该 0Day 事件再次暴露出传统统一通信基础设施在安全层面的长期隐患。延迟修复不仅可能引发勒索软件事件,还可能被用于长期间谍活动。
目前尚未公开可用的 PoC,但有情报显示地下渠道已开始交易相关利用工具。安全团队应持续关注 CISA KEV 清单 及 Cisco PSIRT 发布的最新通告,以便及时应对风险变化。
网站资讯
渠道合作
解决方案
更多服务
