Kerentanan Critical Cisco Unified CM (CVE-2026-20230) Mulai Dieksploitasi dalam Serangan Siber

Sebuah celah keamanan dengan tingkat keparahan tinggi (high-severity) yang melacak kode CVE-2026-20230 pada server Cisco Unified Communications Manager kini dilaporkan telah aktif dieksploitasi oleh para peretas dalam berbagai serangan. Kerentanan ini berjenis Server-Side Request Forgery (SSRF) yang dapat membuka jalan bagi penyerang untuk mendapatkan hak akses tertinggi (root privileges) pada perangkat yang terinfeksi.

Cisco sebenarnya telah merilis pembaruan keamanan (patch) untuk menambal celah CVE-2026-20230 ini sejak tanggal 3 Juni lalu. Pada saat itu, vendor teknologi tersebut sudah memperingatkan adanya potensi bahaya eskalasi hak akses jika kerentanan ini berhasil dimanfaatkan oleh pihak luar.

Mekanisme Celah Keamanan SSRF Menuju Akses Root

Berdasarkan penjelasan resmi dari Cisco, kerentanan ini ditemukan pada komponen Cisco Unified Communications Manager (Unified CM) serta Cisco Unified Communications Manager Session Management Edition (Unified CM SME). Celah ini memungkinkan penyerang jarak jauh (remote) yang tidak terotentikasi untuk meluncurkan serangan SSRF melalui perangkat yang terdampak.

Masalah utama bersumber dari kegagalan sistem dalam melakukan validasi input yang tepat untuk permintaan HTTP (HTTP requests) spesifik. Penyerang dapat mengeksploitasi kelemahan ini dengan mengirimkan permintaan HTTP yang telah dimodifikasi sedemikian rupa ke perangkat target. Jika eksploitasi berhasil, penyerang dapat menulis file berbahaya langsung ke dalam sistem operasi dasar, yang nantinya dapat digunakan sebagai batu loncatan untuk menaikkan hak akses mereka menjadi root.

Informasi mengenai celah ini pertama kali dilaporkan kepada Cisco oleh tim peneliti dari SSD Secure. Namun, pada saat awal pengungkapan, detail teknis mengenai bagaimana celah tersebut bekerja sengaja dirahasiakan demi keamanan dan memberikan waktu bagi para administrator sistem untuk melakukan patching.

Aktivitas Eksploitasi Terdeteksi di Lapangan

Perusahaan intelijen ancaman siber, Defused, mengeluarkan peringatan bahwa aktivitas eksploitasi terhadap CVE-2026-20230 kini sudah mulai marak terjadi di internet. Melalui pemantauan jaringan, mereka mendeteksi adanya upaya serangan aktif yang memanfaatkan celah WebDialer SSRF untuk melakukan penulisan file root ini, meskipun indikasi serangan tersebut belum masuk ke dalam daftar Known Exploited Vulnerabilities (KEV) milik lembaga CISA.

Menurut pengamatan tim Defused, serangan-serangan yang terdeteksi saat ini masih berasal dari satu alamat IP tunggal. Penyerang menggunakan payload berbasis skema file:// yang dikonstruksikan secara rapi untuk membuat file tiruan di dalam perangkat target.

Meskipun secara teori celah ini sangat berbahaya karena bisa digunakan oleh peretas untuk menanamkan webshell dan mengambil alih kendali penuh, bukti konsep (PoC) eksploitasi yang tertangkap pada perangkat umpan (honeypot) milik Defused tampaknya baru bertujuan untuk tahap pemindaian atau pengintaian (reconnaissance). Penyerang saat ini hanya mencoba mengidentifikasi perangkat mana saja yang rentan dengan cara menuliskan sebuah file teks uji coba bernama /tmp/cve-2026-20230-test.txt ke dalam sistem target.

Detail Teknis dan Publikasi Proof-of-Concept (PoC)

Menyusul laporan eksploitasi di lapangan, SSD Secure akhirnya menerbitkan ulasan teknis mendalam mengenai cara kerja kerentanan ini beserta kode Proof-of-Concept (PoC) penuh. Para peneliti menjelaskan bahwa penyerang memanfaatkan kelemahan komponen Webdialer saat memproses URL yang dimasukkan oleh pengguna. Komponen ini dapat dipaksa untuk menulis file arbitrer ke sistem operasi menggunakan format URI file://.

Dengan memanipulasi jalur direktori file (file path) serta konten yang ditulis ke dalam penyimpanan internal server, penyerang dapat mengeksekusi kode berbahaya dari jarak jauh (Remote Code Execution/RCE) hingga berujung pada penguasaan hak akses root.

Namun, SSD Secure mencatat bahwa untuk meluncurkan serangan ini, penyerang harus mengetahui nama host (hostname) dari sistem target terlebih dahulu. Sayangnya, para peneliti juga mendemonstrasikan bahwa informasi hostname tersebut ternyata cukup mudah diekstraksi dari perangkat sebelum eksploitasi utama dijalankan.

Mengingat detail teknis dan kode eksploitasi kini telah tersebar luas di komunitas siber, para pakar memprediksi volume serangan yang menargetkan server Cisco Unified CM akan meningkat tajam dalam beberapa hari ke depan. Para administrator jaringan sangat disarankan untuk segera melakukan pembaruan firmware ke versi terbaru guna mengamankan infrastruktur komunikasi mereka.

Sumber: Cisco Security Advisory