کد خبر: ۴۰۵

بهره‌برداری فعال از آسیب‌پذیری Cisco Unified CM تأیید شد

cisco

گزارش‌های جدید نشان می‌دهد آسیب‌پذیری Cisco Unified CM با شناسه  CVE-2026-20230 اکنون به‌صورت فعال توسط مهاجمان مورد سوءاستفاده قرار می‌گیرد. شرکت سیسکو در هشدار امنیتی جولای ۲۰۲۶ تأیید کرده است که این نقص امنیتی در دنیای واقعی هدف حملات قرار گرفته و می‌تواند زیرساخت‌های ارتباطی سازمان‌ها را در معرض نفوذ قرار دهد.

  Cisco Unified Communications Manager یاUnified CM  از مهم‌ترین سامانه‌های مدیریت تماس و تلفنی سازمانی در جهان است و به همین دلیل همواره در فهرست اهداف ارزشمند مهاجمان قرار داشته است.

تحلیل فنی آسیب‌پذیری  CVE-2026-20230

این نقص از نوع Server-Side Request Forgery (SSRF) است. در چنین حملاتی، مهاجم می‌تواند سرور قربانی را وادار کند درخواست‌هایی را به مقصد دلخواه ارسال کند؛ موضوعی که در بسیاری از موارد به دور زدن محدودیت‌های شبکه و دسترسی به منابع داخلی منجر می‌شود.

طبق شواهد فنی منتشرشده، مهاجمان از Payload‌ های مبتنی برfile://  برای ایجاد فایل‌های مخرب روی دستگاه‌های هدف استفاده کرده‌اند. این مرحله می‌تواند مقدمه‌ای برای تثبیت دسترسی (Persistence) و نفوذ عمیق‌تر در شبکه باشد.

چرا SSRF در Unified CM خطرناک است؟

از آنجا که Cisco Unified CM  در مرکز زیرساخت ارتباطی سازمان قرار دارد، سوءاستفاده از SSRF می‌تواند به مهاجم اجازه دهد به سامانه‌هایی دسترسی پیدا کند که مستقیماً از اینترنت قابل مشاهده نیستند.

وضعیت تهدید و پراکندگی جغرافیایی

داده‌های پایش‌شده توسطShadowserver Foundation  نشان می‌دهد بیش از ۲۰۰ نمونه از Cisco Unified CM همچنان در اینترنت قابل مشاهده هستند.

بررسی توزیع جغرافیایی این سامانه‌ها نشان می‌دهد تمرکز قابل توجهی از نمونه‌های در معرض خطر در آسیا و آمریکای شمالی قرار دارد؛ موضوعی که می‌تواند اولویت‌های هدف‌گیری مهاجمان را نشان دهد.

سابقه حملات به  Cisco Unified CM

تحلیل روندهای امنیتی سال‌های اخیر نشان می‌دهد Unified CM بارها هدف حملات پیچیده قرار گرفته است.

نمونه‌های مهم

  • CVE-2024-20253 — نقصی که امکان ارتقای سطح دسترسی را فراهم می‌کرد.
  • CVE-2025-20309 — آسیب‌پذیری دیگری که مسیر دسترسی با امتیازات بالا را باز می‌کرد.
  • CVE-2026-20045 — یک Zero-Day با قابلیت اجرای کد از راه دور(RCE).

مجموع این رخدادها نشان می‌دهد محصولات ارتباطی سیسکو همچنان هدف کمپین‌های مداوم و هدفمند مهاجمان هستند.

اقدامات فوری دفاعی

سیسکو به مشتریان توصیه کرده است هرچه سریع‌تر به نسخه‌های 14SU6  یا 15SU5  مهاجرت کنند.

اگر سازمانی امکان پچ‌گذاری فوری ندارد، این اقدامات باید در اولویت قرار گیرد:

اولویت‌های دفاعی

غیرفعال‌سازی  WebDialer

این سرویس نقطه اصلی سوءاستفاده ازCVE-2026-20230  محسوب می‌شود.

پایش لاگ‌های  HTTP

جست‌وجوی درخواست‌های مشکوک حاوی file://  یا سایر پروتکل‌های غیرمعمول.

کاهش سطح حمله

محدود کردن دسترسی مدیریتی Unified CM از طریق VPN سازمانی.

بازبینی دسترسی‌های اینترنتی

خارج کردن سرورهای غیرضروری از دسترس مستقیم اینترنت.

جمع‌بندی

تأیید بهره‌برداری فعال از آسیب‌پذیری Cisco Unified CM نشان می‌دهد تهدید علیه زیرساخت‌های ارتباطی سازمانی همچنان در حال افزایش است. در شرایطی که مهاجمان از نمونه‌کدهای عمومی و روش‌های شناخته‌شده برای حملات واقعی استفاده می‌کنند، اتکا به پچ‌گذاری به‌تنهایی کافی نیست و سازمان‌ها باید رویکردی پیشگیرانه و چندلایه در دفاع سایبری اتخاذ کنند.

منابع

  • هشدار امنیتی Cisco PSIRT درباره  CVE-2026-20230
  • داده‌های پایش اینترنتی Shadowserver Foundation
  • فهرست آسیب‌پذیری‌های بهره‌برداری‌شده شناخته‌شده CISA Known Exploited Vulnerabilities Catalog

این گزارش با استناد به چندین منبع معتبر بین‌المللی تهیه و توسط تیم تحریریه ۲۴ نیوز به‌صورت اختصاصی تحلیل، راستی‌آزمایی و بازنویسی شده است.

اتاق تحلیل ۲۴ نیوز | دیدگاه تحلیلی بهراد یوسفی

مسئله اصلی در پرونده Cisco Unified CM صرفاً یک آسیب‌پذیری SSRF نیست؛ بلکه شکست یک فرض قدیمی در معماری امنیت سازمانی است: «سامانه‌های ارتباطی داخلی ذاتاً قابل اعتمادند.»

در دهه گذشته، بسیاری از سازمان‌ها سیستم‌های تلفنی و ارتباطی را بخشی از زیرساخت IT می‌دانستند، اما نه بخشی از «سطح حمله حیاتی». اکنون این مرز عملاً از بین رفته است. Unified CM به دایرکتوری‌های سازمانی، هویت کاربران، تماس‌های صوتی، کنفرانس‌ها و در برخی محیط‌ها حتی به سامانه‌های همکاری و احراز هویت متصل است. بنابراین نفوذ به چنین سامانه‌ای می‌تواند فراتر از یک اختلال ارتباطی باشد و به سکوی حرکت جانبی (Lateral Movement) در شبکه تبدیل شود.

آنچه این رخداد را مهم‌تر می‌کند، الگوی تکرارشونده حملات علیه محصولات ارتباطی و مدیریت زیرساخت است. مهاجمان به‌خوبی می‌دانند که این سامانه‌ها معمولاً در لایه‌ای قرار دارند که هم دسترسی گسترده دارد و هم کمتر از سرورهای حیاتی مالی یا دیتابیس‌ها تحت پایش امنیتی دقیق قرار می‌گیرد. این دقیقاً همان شکافی است که رویکرد Zero Trust تلاش می‌کند از بین ببرد: هیچ سامانه‌ای صرفاً به دلیل قرار گرفتن در شبکه داخلی نباید قابل اعتماد فرض شود.

از منظر راهبردی، این حادثه یک درس مهم برای مدیران امنیت (CISO) دارد: مدیریت وصله‌ها (Patch Management) دیگر کافی نیست. فاصله زمانی بین انتشار هشدار امنیتی و آغاز بهره‌برداری فعال به‌قدری کوتاه شده که سازمان‌ها باید روی Detection Engineering، تفکیک شبکه، کنترل هویت و کاهش سطح حمله سرمایه‌گذاری کنند. سازمانی که فقط منتظر انتشار پچ بماند، در عمل بخشی از زمان طلایی دفاع را از دست داده است.

نکته نگران‌کننده دیگر، قابل مشاهده بودن صدها نمونه Unified CM در اینترنت است. این موضوع نشان می‌دهد هنوز بسیاری از سازمان‌ها سامانه‌های مدیریت ارتباطات را بدون لایه‌های محافظتی کافی در معرض اینترنت قرار می‌دهند؛ تصمیمی که با اصول Secure by Design  وDefense in Depth  سازگار نیست.

به باور من، پرونده CVE-2026-20230 بیش از آنکه یک هشدار فنی باشد، نشانه‌ای از تغییر ماهیت زیرساخت‌های ارتباطی است: تلفن سازمانی دیگر یک ابزار ارتباطی نیست؛ یک دارایی راهبردی در معماری امنیت و تاب‌آوری دیجیتال سازمان است. سازمان‌هایی که این تغییر را درک نکنند، در موج بعدی حملات هدفمند، هزینه‌ای بسیار فراتر از اختلال در تماس‌های تلفنی پرداخت خواهند کرد.

گزارش خطا
ارسال پیام
captcha
پیشنهاد سردبیر بیشتر
آخرین اخبار
پربازدید
خانه پربازدید پربحث