CISA警告思科统一管理管理漏洞被攻击

CISA已在其已知被利用漏洞（KEV）目录中新增了一个影响思科统一通信管理器（Unified CM）的关键服务器端请求伪造（SSRF）漏洞，敦促联邦机构和组织在野外被利用活跃的情况下立即实施补丁。

该漏洞被追踪为CVE-2026-20230，使未认证的远程攻击者能够实施服务器端请求伪造（SSRF）攻击——这一威胁向量正日益被武器化，深入企业基础设施深处。

该漏洞使得未经认证的远程攻击者能够在不需凭证的情况下对受影响系统实施服务器端请求伪造攻击。

关键是，成功的利用可能使攻击者能够向底层操作系统写入任意文件，建立立足点，随后可利用该平台将权限升级至根级，从而获得对受影响主机的完全控制权。

该漏洞于2026年6月25日被加入CISA的KEV目录，强制修复截止日期为2026年6月28日，反映了主动利用带来的紧迫风险。

思科统一配置管理漏洞

SSRF漏洞在企业通信基础设施中尤为危险，因为它们允许攻击者滥用服务器端功能与内部系统交互，绕过网络控制，访问本应孤立的服务。

在这种情况下，文件写入能力将看似有限范围的缺陷转变为严重的预认证远程入侵向量。

攻击者可以设计恶意请求，强迫统一管理管理服务器将攻击者控制的内容写入敏感文件系统位置。

这些植入文件随后可在后续攻击阶段被触发或利用，以实现权限升级和持续根级访问，这是一种企业入侵场景中常见的经典多阶段利用链。

虽然CISA目前将勒索软件活动关联列为未知，但该漏洞的性质、未经认证的访问，以及文件写入和权限升级的潜力，使其成为勒索软件操作者和针对企业通信平台的高级持续威胁（APT）组织的高价值目标。

受影响的产品

• 思科统一通信管理器（Unified CM）
  
• 思科统一通信管理会话管理版（统一配置管理SME）
  

在互联网暴露环境中或混合环境中运行产品的组织应将修复作为紧急优先事项。

CISA已指示受影响组织根据《约束性运营指令》（BOD）26-04采取以下步骤，该指令规范基于风险的优先级安全更新：

• 请立即根据思科官方安全公告（cisco-sa-cucm-ssrf-cXPnHcW）发布厂商发布的缓解措施
  
• 根据CISA的法医分诊要求进行法医分诊，以识别可能存在的先前入侵迹象
  
• 评估所有受影响资产的网络暴露情况，并确保遵守BOD 26-04的补丁时间表
  
• 如果无法在规定期限内实施缓解措施，请停止使用该产品
  
• 对于云服务部署，请遵循相关的BOD 26-04云指南
  

强烈建议安全团队审计统一管理记录日志，以防异常外出请求或意外文件系统修改，作为检测后立即采取措施。