Cisco załatało krytyczną lukę RCE – pilna aktualizacja dla UC już dziś

Masz w firmie Unified Communications od Cisco? Odłóż kawę. Ten patch nie może czekać do „po lunchu”.

Cisco załatało krytyczną lukę RCE w swoich platformach komunikacyjnych, która była aktywnie wykorzystywana jako zero-day: CVE-2026-20045. Błąd pozwala z poziomu webowego panelu zarządzania dostać się do systemu jako zwykły użytkownik, a potem podnieść uprawnienia aż do roota. Nie ma obejść. Są tylko aktualizacje – i pilna potrzeba ich wdrożenia.

Mówimy o kręgosłupie firmowej komunikacji: Unified Communications Manager (w tym Session Management Edition i IM & Presence), Unity Connection oraz Webex Calling Dedicated Instance. Jeśli padnie od jednego żądania HTTP, przewraca się połowa firmowego obiegu informacji. CISA dorzuciła CVE-2026-20045 do katalogu KEV i dała federalnym deadline do 11.02.2026. Innymi słowy: to nie ćwiczenia. [1]

O co chodzi

Luka wynika z niewłaściwej walidacji danych wejściowych w żądaniach HTTP kierowanych do webowego interfejsu zarządzania. W praktyce: atakujący może wysłać sekwencję spreparowanych requestów, dostać dostęp użytkownika do systemu operacyjnego, a następnie eskalować uprawnienia do roota. Formalnie CVSS 8.2, ale producent oznaczył wagę jako „krytyczną”, bo finał eksploatacji to pełna kontrola nad serwerem.

Co jest zagrożone

Lista jest niestety długa i dotyczy środowisk, które bywają traktowane jako „wewnętrzne, więc bezpieczne”:

• Cisco Unified Communications Manager (Unified CM), w tym Session Management Edition oraz IM & Presence,
• Cisco Unity Connection,
• Webex Calling Dedicated Instance.

Nie trzeba konta, by spróbować ataku – wektor jest zdalny i bez uwierzytelniania, przez panel webowy. Zespół PSIRT potwierdził próby eksploatacji na żywo.

Łatki i wersje

Cisco wypuściło poprawki i paczki COP, ale uwaga: są ściśle wersjo-specyficzne – przed wdrożeniem trzeba przeczytać README do danej paczki.

• Unified CM / IM&P / SME / Webex Calling Dedicated Instance: dla wersji 14 – 14SU5 albo patch; dla 15 – 15SU4 (wydanie zaplanowane na marzec 2026) lub odpowiednie patche; w 12.5 – migracja do wydania naprawionego. [1]
• Unity Connection: dla wersji 14 – 14SU5 albo patch; dla 15 – 15SU4 (marzec 2026) lub patch; w 12.5 – migracja. [2]

Nie ma żadnych obejść. Brak WAF-owego „uspokajacza”, brak przełącznika konfiguracyjnego, który tymczasowo zamknie dziurę. Jest tylko patch.

Szerszy trend

Jeśli macie wrażenie déjà vu, to nie przypadek. Na przestrzeni ostatnich tygodni i miesięcy firma gasiła kilka istotnych pożarów w swoim stacku: od podatności w Identity Services Engine (jedna z nich z publicznym PoC), przez zero-day w AsyncOS, po świeże, krytyczne bugi w contact center (Unified CCX), które umożliwiały RCE i ominięcie uwierzytelniania. To nie jedna wpadka – to okres wzmożonego zainteresowania przestępców platformami komunikacyjnymi i tożsamościowymi, bo stanowią wygodne trampoliny do reszty sieci.

Fakty i minimum konkretu

• Mechanika: niewłaściwa walidacja wejścia w żądaniach HTTP; łańcuch: user-level access -> eskalacja do root.
• Skala: CVSS 8.2, ale praktycznie „krytyczna” przez skutek końcowy.
• Stan na dziś: próby eksploatacji potwierdzone; wpis w KEV; brak obejść; łatki dostępne, część w formie COP-ów przed docelowymi wydaniami SU.
• Wymóg regulacyjny: agencje federalne mają czas do 11.02.2026 na wdrożenie poprawek.

Komentarz

To ten moment, gdy metryki „dostępność usługi” i „ryzyko” zderzają się czołowo. Tak, Unified CM i Unity Connection to krytyczne systemy głosowe i wiadomościowe, które trudno wyłączyć „na chwilę”. Ale jednocześnie mówimy o RCE i root na serwerach – idealnym przyczółku do lateral movement. CVSS 8.2 może wyglądać niewinnie przy modnych „dziesiątkach”, ale metka „krytyczna” od producenta jest tutaj uczciwa. Jeśli wdrażacie łatki dopiero przy „planowanych SU”, zróbcie wyjątek: COP-y istnieją po to, by kupić czas bez odkładania ochrony na marzec.

Co zrobić teraz

• Zweryfikuj wersje w Unified CM/SME/IM&P, Unity Connection i Webex Calling Dedicated Instance.
• Przeczytaj README do właściwych paczek – są wersjo-specyficzne – i zaplanuj szybkie okno serwisowe.
• Jeżeli siedzicie na 12.5, traktujcie to jak projekt migracyjny z priorytetem „natychmiast”.
• Po wdrożeniu monitoruj logi pod kątem nietypowych sekwencji żądań HTTP do panelu webowego – skoro próby trwają, telemetryka ma znaczenie.

Spokojne domknięcie

Komunikacja spina organizację. Gdy jest podatna na przejęcie jednym requestem, to nie jest „tylko bug” – to ryzyko systemowe. Producent zrobił swoją część i dostarczył łatki. Teraz piłka jest po stronie zespołów IT: czy zdążycie zamknąć tę furtkę, zanim ktoś ją wyważy?

FAQ

Czy luka CVE-2026-20045 jest już wykorzystywana w atakach?

Tak. PSIRT potwierdził próby eksploatacji tej podatności w środowiskach produkcyjnych.

Które produkty Cisco są podatne na CVE-2026-20045?

Podatne są: Unified Communications Manager (w tym Session Management Edition i IM & Presence), Unity Connection oraz Webex Calling Dedicated Instance. Wersje zależą od linii produktu – sprawdź swoją wersję i dobierz właściwy patch.

Czy istnieją jakiekolwiek obejścia dla CVE-2026-20045?

Nie. Firma wskazuje, że nie ma workaroundów; jedynym remedium jest instalacja poprawek lub migracja do wersji naprawionej.

Kiedy upływa termin CISA na załatanie CVE-2026-20045 dla agencji federalnych?

Termin wyznaczono na 11.02.2026. To praktyczny wskaźnik pilności również dla reszty rynku.

Które wersje zawierają poprawkę na CVE-2026-20045?

Dla linii 14 – 14SU5 lub dedykowana paczka; dla linii 15 – 15SU4 (marzec 2026) lub dostępne paczki; Unity Connection analogicznie: 14SU5 lub patch, 15SU4 (marzec 2026) lub patch. Wersja 12.5 wymaga migracji do wydania naprawionego. [2]

Źródła

• [1] https://bleepingcomputer.com/news/security/cisco-fixes-unified-communications-rce-zero-day-exploited-in-attacks/
• [2] https://securityaffairs.com/187177/security/cisco-fixed-actively-exploited-unified-communications-zero-day.html
• [3] https://gbhackers.com/cisco-unified-ccx/
• [4] https://linkedin.com/pulse/warning-critical-cisco-vulnerabilities-enables-vehre
• [5] https://thehackernews.com/2025/11/microsoft-fixes-63-security-flaws.html
• [6] https://theregister.com/2025/07/17/critical_cisco_bug/
• [7] https://cyble.com/blog/the-week-in-new-vulnerabilities-exploited-quickly/
• [8] https://thehackernews.com/2025/06/microsoft-patches-67-vulnerabilities.html
• [9] https://bleepingcomputer.com/news/security/cisco-discloses-data-breach-impacting-ciscocom-user-accounts/