بهرهبرداری فعال از آسیبپذیری Cisco Unified CM تأیید شد
گزارشهای جدید نشان میدهد آسیبپذیری Cisco Unified CM با شناسه CVE-2026-20230 اکنون بهصورت فعال توسط مهاجمان مورد سوءاستفاده قرار میگیرد. شرکت سیسکو در هشدار امنیتی جولای ۲۰۲۶ تأیید کرده است که این نقص امنیتی در دنیای واقعی هدف حملات قرار گرفته و میتواند زیرساختهای ارتباطی سازمانها را در معرض نفوذ قرار دهد.
Cisco Unified Communications Manager یاUnified CM از مهمترین سامانههای مدیریت تماس و تلفنی سازمانی در جهان است و به همین دلیل همواره در فهرست اهداف ارزشمند مهاجمان قرار داشته است.
تحلیل فنی آسیبپذیری CVE-2026-20230
این نقص از نوع Server-Side Request Forgery (SSRF) است. در چنین حملاتی، مهاجم میتواند سرور قربانی را وادار کند درخواستهایی را به مقصد دلخواه ارسال کند؛ موضوعی که در بسیاری از موارد به دور زدن محدودیتهای شبکه و دسترسی به منابع داخلی منجر میشود.
طبق شواهد فنی منتشرشده، مهاجمان از Payload های مبتنی برfile:// برای ایجاد فایلهای مخرب روی دستگاههای هدف استفاده کردهاند. این مرحله میتواند مقدمهای برای تثبیت دسترسی (Persistence) و نفوذ عمیقتر در شبکه باشد.
چرا SSRF در Unified CM خطرناک است؟
از آنجا که Cisco Unified CM در مرکز زیرساخت ارتباطی سازمان قرار دارد، سوءاستفاده از SSRF میتواند به مهاجم اجازه دهد به سامانههایی دسترسی پیدا کند که مستقیماً از اینترنت قابل مشاهده نیستند.
وضعیت تهدید و پراکندگی جغرافیایی
دادههای پایششده توسطShadowserver Foundation نشان میدهد بیش از ۲۰۰ نمونه از Cisco Unified CM همچنان در اینترنت قابل مشاهده هستند.
بررسی توزیع جغرافیایی این سامانهها نشان میدهد تمرکز قابل توجهی از نمونههای در معرض خطر در آسیا و آمریکای شمالی قرار دارد؛ موضوعی که میتواند اولویتهای هدفگیری مهاجمان را نشان دهد.
سابقه حملات به Cisco Unified CM
تحلیل روندهای امنیتی سالهای اخیر نشان میدهد Unified CM بارها هدف حملات پیچیده قرار گرفته است.
نمونههای مهم
- CVE-2024-20253 — نقصی که امکان ارتقای سطح دسترسی را فراهم میکرد.
- CVE-2025-20309 — آسیبپذیری دیگری که مسیر دسترسی با امتیازات بالا را باز میکرد.
- CVE-2026-20045 — یک Zero-Day با قابلیت اجرای کد از راه دور(RCE).
مجموع این رخدادها نشان میدهد محصولات ارتباطی سیسکو همچنان هدف کمپینهای مداوم و هدفمند مهاجمان هستند.
اقدامات فوری دفاعی
سیسکو به مشتریان توصیه کرده است هرچه سریعتر به نسخههای 14SU6 یا 15SU5 مهاجرت کنند.
اگر سازمانی امکان پچگذاری فوری ندارد، این اقدامات باید در اولویت قرار گیرد:
اولویتهای دفاعی
غیرفعالسازی WebDialer
این سرویس نقطه اصلی سوءاستفاده ازCVE-2026-20230 محسوب میشود.
پایش لاگهای HTTP
جستوجوی درخواستهای مشکوک حاوی file:// یا سایر پروتکلهای غیرمعمول.
کاهش سطح حمله
محدود کردن دسترسی مدیریتی Unified CM از طریق VPN سازمانی.
بازبینی دسترسیهای اینترنتی
خارج کردن سرورهای غیرضروری از دسترس مستقیم اینترنت.
جمعبندی
تأیید بهرهبرداری فعال از آسیبپذیری Cisco Unified CM نشان میدهد تهدید علیه زیرساختهای ارتباطی سازمانی همچنان در حال افزایش است. در شرایطی که مهاجمان از نمونهکدهای عمومی و روشهای شناختهشده برای حملات واقعی استفاده میکنند، اتکا به پچگذاری بهتنهایی کافی نیست و سازمانها باید رویکردی پیشگیرانه و چندلایه در دفاع سایبری اتخاذ کنند.
منابع
- هشدار امنیتی Cisco PSIRT درباره CVE-2026-20230
- دادههای پایش اینترنتی Shadowserver Foundation
- فهرست آسیبپذیریهای بهرهبرداریشده شناختهشده CISA Known Exploited Vulnerabilities Catalog
این گزارش با استناد به چندین منبع معتبر بینالمللی تهیه و توسط تیم تحریریه ۲۴ نیوز بهصورت اختصاصی تحلیل، راستیآزمایی و بازنویسی شده است.
اتاق تحلیل ۲۴ نیوز | دیدگاه تحلیلی بهراد یوسفی
مسئله اصلی در پرونده Cisco Unified CM صرفاً یک آسیبپذیری SSRF نیست؛ بلکه شکست یک فرض قدیمی در معماری امنیت سازمانی است: «سامانههای ارتباطی داخلی ذاتاً قابل اعتمادند.»
در دهه گذشته، بسیاری از سازمانها سیستمهای تلفنی و ارتباطی را بخشی از زیرساخت IT میدانستند، اما نه بخشی از «سطح حمله حیاتی». اکنون این مرز عملاً از بین رفته است. Unified CM به دایرکتوریهای سازمانی، هویت کاربران، تماسهای صوتی، کنفرانسها و در برخی محیطها حتی به سامانههای همکاری و احراز هویت متصل است. بنابراین نفوذ به چنین سامانهای میتواند فراتر از یک اختلال ارتباطی باشد و به سکوی حرکت جانبی (Lateral Movement) در شبکه تبدیل شود.
آنچه این رخداد را مهمتر میکند، الگوی تکرارشونده حملات علیه محصولات ارتباطی و مدیریت زیرساخت است. مهاجمان بهخوبی میدانند که این سامانهها معمولاً در لایهای قرار دارند که هم دسترسی گسترده دارد و هم کمتر از سرورهای حیاتی مالی یا دیتابیسها تحت پایش امنیتی دقیق قرار میگیرد. این دقیقاً همان شکافی است که رویکرد Zero Trust تلاش میکند از بین ببرد: هیچ سامانهای صرفاً به دلیل قرار گرفتن در شبکه داخلی نباید قابل اعتماد فرض شود.
از منظر راهبردی، این حادثه یک درس مهم برای مدیران امنیت (CISO) دارد: مدیریت وصلهها (Patch Management) دیگر کافی نیست. فاصله زمانی بین انتشار هشدار امنیتی و آغاز بهرهبرداری فعال بهقدری کوتاه شده که سازمانها باید روی Detection Engineering، تفکیک شبکه، کنترل هویت و کاهش سطح حمله سرمایهگذاری کنند. سازمانی که فقط منتظر انتشار پچ بماند، در عمل بخشی از زمان طلایی دفاع را از دست داده است.
نکته نگرانکننده دیگر، قابل مشاهده بودن صدها نمونه Unified CM در اینترنت است. این موضوع نشان میدهد هنوز بسیاری از سازمانها سامانههای مدیریت ارتباطات را بدون لایههای محافظتی کافی در معرض اینترنت قرار میدهند؛ تصمیمی که با اصول Secure by Design وDefense in Depth سازگار نیست.
به باور من، پرونده CVE-2026-20230 بیش از آنکه یک هشدار فنی باشد، نشانهای از تغییر ماهیت زیرساختهای ارتباطی است: تلفن سازمانی دیگر یک ابزار ارتباطی نیست؛ یک دارایی راهبردی در معماری امنیت و تابآوری دیجیتال سازمان است. سازمانهایی که این تغییر را درک نکنند، در موج بعدی حملات هدفمند، هزینهای بسیار فراتر از اختلال در تماسهای تلفنی پرداخت خواهند کرد.