Masz w firmie Unified Communications od Cisco? Odłóż kawę. Ten patch nie może czekać do „po lunchu”.
Cisco załatało krytyczną lukę RCE w swoich platformach komunikacyjnych, która była aktywnie wykorzystywana jako zero-day: CVE-2026-20045. Błąd pozwala z poziomu webowego panelu zarządzania dostać się do systemu jako zwykły użytkownik, a potem podnieść uprawnienia aż do roota. Nie ma obejść. Są tylko aktualizacje – i pilna potrzeba ich wdrożenia.
Mówimy o kręgosłupie firmowej komunikacji: Unified Communications Manager (w tym Session Management Edition i IM & Presence), Unity Connection oraz Webex Calling Dedicated Instance. Jeśli padnie od jednego żądania HTTP, przewraca się połowa firmowego obiegu informacji. CISA dorzuciła CVE-2026-20045 do katalogu KEV i dała federalnym deadline do 11.02.2026. Innymi słowy: to nie ćwiczenia. [1]
O co chodzi
Luka wynika z niewłaściwej walidacji danych wejściowych w żądaniach HTTP kierowanych do webowego interfejsu zarządzania. W praktyce: atakujący może wysłać sekwencję spreparowanych requestów, dostać dostęp użytkownika do systemu operacyjnego, a następnie eskalować uprawnienia do roota. Formalnie CVSS 8.2, ale producent oznaczył wagę jako „krytyczną”, bo finał eksploatacji to pełna kontrola nad serwerem.
Co jest zagrożone
Lista jest niestety długa i dotyczy środowisk, które bywają traktowane jako „wewnętrzne, więc bezpieczne”:
- Cisco Unified Communications Manager (Unified CM), w tym Session Management Edition oraz IM & Presence,
- Cisco Unity Connection,
- Webex Calling Dedicated Instance.
Nie trzeba konta, by spróbować ataku – wektor jest zdalny i bez uwierzytelniania, przez panel webowy. Zespół PSIRT potwierdził próby eksploatacji na żywo.
Łatki i wersje
Cisco wypuściło poprawki i paczki COP, ale uwaga: są ściśle wersjo-specyficzne – przed wdrożeniem trzeba przeczytać README do danej paczki.
- Unified CM / IM&P / SME / Webex Calling Dedicated Instance: dla wersji 14 – 14SU5 albo patch; dla 15 – 15SU4 (wydanie zaplanowane na marzec 2026) lub odpowiednie patche; w 12.5 – migracja do wydania naprawionego. [1]
- Unity Connection: dla wersji 14 – 14SU5 albo patch; dla 15 – 15SU4 (marzec 2026) lub patch; w 12.5 – migracja. [2]
Nie ma żadnych obejść. Brak WAF-owego „uspokajacza”, brak przełącznika konfiguracyjnego, który tymczasowo zamknie dziurę. Jest tylko patch.
Szerszy trend
Jeśli macie wrażenie déjà vu, to nie przypadek. Na przestrzeni ostatnich tygodni i miesięcy firma gasiła kilka istotnych pożarów w swoim stacku: od podatności w Identity Services Engine (jedna z nich z publicznym PoC), przez zero-day w AsyncOS, po świeże, krytyczne bugi w contact center (Unified CCX), które umożliwiały RCE i ominięcie uwierzytelniania. To nie jedna wpadka – to okres wzmożonego zainteresowania przestępców platformami komunikacyjnymi i tożsamościowymi, bo stanowią wygodne trampoliny do reszty sieci.
Fakty i minimum konkretu
- Mechanika: niewłaściwa walidacja wejścia w żądaniach HTTP; łańcuch: user-level access -> eskalacja do root.
- Skala: CVSS 8.2, ale praktycznie „krytyczna” przez skutek końcowy.
- Stan na dziś: próby eksploatacji potwierdzone; wpis w KEV; brak obejść; łatki dostępne, część w formie COP-ów przed docelowymi wydaniami SU.
- Wymóg regulacyjny: agencje federalne mają czas do 11.02.2026 na wdrożenie poprawek.
Komentarz
To ten moment, gdy metryki „dostępność usługi” i „ryzyko” zderzają się czołowo. Tak, Unified CM i Unity Connection to krytyczne systemy głosowe i wiadomościowe, które trudno wyłączyć „na chwilę”. Ale jednocześnie mówimy o RCE i root na serwerach – idealnym przyczółku do lateral movement. CVSS 8.2 może wyglądać niewinnie przy modnych „dziesiątkach”, ale metka „krytyczna” od producenta jest tutaj uczciwa. Jeśli wdrażacie łatki dopiero przy „planowanych SU”, zróbcie wyjątek: COP-y istnieją po to, by kupić czas bez odkładania ochrony na marzec.
Co zrobić teraz
- Zweryfikuj wersje w Unified CM/SME/IM&P, Unity Connection i Webex Calling Dedicated Instance.
- Przeczytaj README do właściwych paczek – są wersjo-specyficzne – i zaplanuj szybkie okno serwisowe.
- Jeżeli siedzicie na 12.5, traktujcie to jak projekt migracyjny z priorytetem „natychmiast”.
- Po wdrożeniu monitoruj logi pod kątem nietypowych sekwencji żądań HTTP do panelu webowego – skoro próby trwają, telemetryka ma znaczenie.
Spokojne domknięcie
Komunikacja spina organizację. Gdy jest podatna na przejęcie jednym requestem, to nie jest „tylko bug” – to ryzyko systemowe. Producent zrobił swoją część i dostarczył łatki. Teraz piłka jest po stronie zespołów IT: czy zdążycie zamknąć tę furtkę, zanim ktoś ją wyważy?
FAQ
Czy luka CVE-2026-20045 jest już wykorzystywana w atakach?
Tak. PSIRT potwierdził próby eksploatacji tej podatności w środowiskach produkcyjnych.
Które produkty Cisco są podatne na CVE-2026-20045?
Podatne są: Unified Communications Manager (w tym Session Management Edition i IM & Presence), Unity Connection oraz Webex Calling Dedicated Instance. Wersje zależą od linii produktu – sprawdź swoją wersję i dobierz właściwy patch.
Czy istnieją jakiekolwiek obejścia dla CVE-2026-20045?
Nie. Firma wskazuje, że nie ma workaroundów; jedynym remedium jest instalacja poprawek lub migracja do wersji naprawionej.
Kiedy upływa termin CISA na załatanie CVE-2026-20045 dla agencji federalnych?
Termin wyznaczono na 11.02.2026. To praktyczny wskaźnik pilności również dla reszty rynku.
Które wersje zawierają poprawkę na CVE-2026-20045?
Dla linii 14 – 14SU5 lub dedykowana paczka; dla linii 15 – 15SU4 (marzec 2026) lub dostępne paczki; Unity Connection analogicznie: 14SU5 lub patch, 15SU4 (marzec 2026) lub patch. Wersja 12.5 wymaga migracji do wydania naprawionego. [2]
Źródła
- [1] https://bleepingcomputer.com/news/security/cisco-fixes-unified-communications-rce-zero-day-exploited-in-attacks/
- [2] https://securityaffairs.com/187177/security/cisco-fixed-actively-exploited-unified-communications-zero-day.html
- [3] https://gbhackers.com/cisco-unified-ccx/
- [4] https://linkedin.com/pulse/warning-critical-cisco-vulnerabilities-enables-vehre
- [5] https://thehackernews.com/2025/11/microsoft-fixes-63-security-flaws.html
- [6] https://theregister.com/2025/07/17/critical_cisco_bug/
- [7] https://cyble.com/blog/the-week-in-new-vulnerabilities-exploited-quickly/
- [8] https://thehackernews.com/2025/06/microsoft-patches-67-vulnerabilities.html
- [9] https://bleepingcomputer.com/news/security/cisco-discloses-data-breach-impacting-ciscocom-user-accounts/
To nie jest ozdobnik. To ślad po procesie: ile informacji było szumem, ile stało się wiedzą i jak wyglądał research, zanim powstał ten tekst.
1. Zbieranie sygnałów (discovery)
- RSS - źródeł w configu
- 90
- RSS - stan źródeł
- 90 / 90 OK
- RSS - przepływ (od surowych do unikalnych)
- 3088 -> 3000 -> 449 -> 320
- Pula tematów (z RSS)
- 320
- Wybrane do analizy
- 188
- Odrzucone
- 101
- Duplikaty (archiwum tematów)
- 2
- Klastry (wątki)
- 145
2. Selekcja i filtrowanie
- Odrzucono jako nieaktualne (filtr daty)
- 1
- Odrzucono semantycznie (embedding)
- 2
3. Wyszukiwanie i wzbogacanie
- Zapytania wyszukiwawcze
- 10
- Unikalne wyniki
- 35
- Kandydaci
- 10
- Dodane z wyszukiwania (cache+live)
- 8
- Przeskanowano URL-i (research)
- 1
4. Finalny kontekst
- Źródła użyte w tekście
- 9
- Źródła (domeny)
- 7
- Wikipedia - kontekst
- tak
- Expansion - kontekst
- nie
- Wyłuskane liczby
- 2
