Cisco Konfirmasi Celah Unified CM CVE-2026-20230 Kini Dieksploitasi Secara Aktif

Cisco akhirnya mengonfirmasi bahwa pelaku ancaman siber kini secara aktif mengeksploitasi kerentanan CVE-2026-20230 pada Cisco Unified Communications Manager (Unified CM). Sebelumnya, saat merilis patch pada awal Juni 2026, Cisco hanya menyatakan telah mengetahui keberadaan kode eksploitasi (proof-of-concept/PoC) tanpa menemukan bukti adanya serangan di dunia nyata.
Kini, perusahaan mengimbau seluruh pelanggan agar segera memperbarui sistem mereka karena eksploitasi terhadap celah tersebut telah terdeteksi.
Kerentanan SSRF pada Cisco Unified CM
Cisco Unified Communications Manager, yang sebelumnya dikenal sebagai Cisco CallManager, merupakan platform utama untuk mengelola sistem telepon IP Cisco, termasuk pengaturan panggilan, manajemen perangkat, serta berbagai layanan komunikasi perusahaan.
Kerentanan CVE-2026-20230 merupakan kelemahan bertipe Server-Side Request Forgery (SSRF) yang memungkinkan penyerang tanpa hak akses mengirimkan permintaan HTTP yang dirancang khusus untuk mengeksploitasi server.
Karakteristik kerentanan ini meliputi:
- Tidak memerlukan hak administrator.
- Dapat dieksploitasi dari jarak jauh melalui jaringan.
- Kompleksitas serangan tergolong rendah.
- Memanfaatkan permintaan HTTP berbahaya.
Eksploitasi Mulai Terlihat Sejak Juni
Pada 22 Juni 2026, perusahaan intelijen ancaman Defused melaporkan telah menemukan aktivitas eksploitasi terhadap CVE-2026-20230.
Menurut laporan tersebut, penyerang memanfaatkan payload file:// yang disusun secara khusus untuk membuat file pada perangkat target.
Sehari setelahnya, peneliti dari SSD Secure juga menerbitkan analisis teknis beserta proof-of-concept yang menjelaskan mekanisme kerja kerentanan tersebut.
Setelah beberapa pekan tanpa memberikan konfirmasi lebih lanjut, Cisco akhirnya memperbarui advisory resminya dan menyatakan bahwa eksploitasi aktif memang telah terjadi.
Cisco Imbau Segera Melakukan Pembaruan
Cisco merekomendasikan pengguna segera melakukan upgrade ke versi yang telah diperbaiki, yaitu:
- Cisco Unified CM 14SU6
- Cisco Unified CM 15SU5 (September 2026 atau melalui paket COP)
Bagi organisasi yang belum dapat melakukan pembaruan, Cisco menyarankan langkah mitigasi sementara dengan menonaktifkan layanan WebDialer yang menjadi komponen rentan terhadap eksploitasi CVE-2026-20230.
Langkah tersebut dapat membantu mengurangi risiko hingga pembaruan keamanan berhasil diterapkan.
Lebih dari 200 Server Masih Terpapar Internet
Kelompok pemantau keamanan internet Shadowserver melaporkan masih terdapat lebih dari 200 instance Cisco Unified CM yang dapat diakses dari internet.
Sebagian besar server tersebut berada di kawasan Asia dan Amerika Utara. Namun, belum diketahui berapa banyak yang telah memasang patch terhadap CVE-2026-20230.
Riwayat Kerentanan Cisco Unified CM
Cisco Unified CM telah beberapa kali menjadi sasaran eksploitasi dalam beberapa tahun terakhir.
Sebelumnya Cisco juga telah menambal beberapa kerentanan penting, antara lain:
- CVE-2024-20253, yang memungkinkan peningkatan hak akses hingga root.
- CVE-2025-20309, yang juga dapat memberikan hak akses root kepada penyerang.
- CVE-2026-20045, kerentanan zero-day yang sempat dieksploitasi secara aktif untuk memperoleh remote code execution (RCE).
Sementara itu, sejak November 2021, CISA telah memasukkan 93 kerentanan Cisco ke dalam daftar Known Exploited Vulnerabilities (KEV). Dari jumlah tersebut, enam kerentanan diketahui pernah dimanfaatkan dalam serangan ransomware.
Administrator Cisco Unified CM disarankan segera memasang pembaruan keamanan terbaru atau menerapkan mitigasi sementara untuk mengurangi risiko eksploitasi terhadap sistem yang masih rentan.
Sumber: Cisco








