Security

Cisco Konfirmasi Kerentanan Unified CM Kini Aktif Dieksploitasi, Pengguna Diminta Segera Patch

Cisco akhirnya mengonfirmasi bahwa pelaku ancaman kini telah mulai mengeksploitasi secara aktif kerentanan pada Cisco Unified Communications Manager (Unified CM) yang sebelumnya telah diperbaiki melalui pembaruan keamanan awal Juni lalu.

Kerentanan dengan kode CVE-2026-20230 ini memungkinkan penyerang melancarkan serangan Server-Side Request Forgery (SSRF) dari jarak jauh terhadap sistem yang belum diperbarui.

Dapat Dieksploitasi Tanpa Hak Akses Khusus

Cisco Unified CM, yang sebelumnya dikenal sebagai Cisco CallManager, merupakan sistem pusat pengelolaan layanan telepon IP perusahaan, termasuk pengaturan panggilan, manajemen perangkat, dan berbagai fitur komunikasi lainnya.

CVE-2026-20230 memungkinkan penyerang yang tidak memiliki hak istimewa mengeksploitasi sistem hanya dengan mengirimkan permintaan HTTP yang dirancang secara khusus.

Saat merilis patch pada 3 Juni 2026, Cisco menyatakan telah mengetahui adanya kode eksploitasi (Proof-of-Concept/PoC) yang beredar di publik, namun saat itu belum menemukan bukti bahwa kerentanan tersebut telah digunakan dalam serangan nyata.

Eksploitasi Mulai Terlihat pada Juni

Situasi berubah sekitar tiga minggu kemudian.

Pada 22 Juni, perusahaan intelijen ancaman Defused melaporkan bahwa pelaku mulai mengeksploitasi CVE-2026-20230 menggunakan payload file:// yang disusun secara khusus untuk membuat file pada perangkat target.

Sehari setelahnya, SSD Secure menerbitkan analisis teknis lengkap beserta contoh eksploitasi yang menjelaskan mekanisme kerja kerentanan tersebut.

Kini Cisco secara resmi mengonfirmasi bahwa eksploitasi memang telah terjadi.

Dalam pembaruan advisory resminya, Cisco menyatakan tim Product Security Incident Response Team (PSIRT) telah mengetahui adanya eksploitasi aktif terhadap CVE-2026-20230 dan kembali mendesak seluruh pelanggan untuk segera melakukan pembaruan sistem.

Solusi Sementara Jika Belum Bisa Patch

Bagi organisasi yang belum dapat segera memasang pembaruan ke:

  • Cisco Unified CM 14SU6, atau
  • Cisco Unified CM 15SU5 (September 2026/COP),

Cisco menyarankan langkah mitigasi sementara dengan menonaktifkan layanan WebDialer.

Langkah ini bertujuan memblokir jalur eksploitasi hingga proses pembaruan dapat dilakukan.

Lebih dari 200 Server Masih Terbuka ke Internet

Menurut pemantauan Shadowserver Foundation, saat ini terdapat lebih dari 200 instance Cisco Unified CM yang masih dapat diakses langsung melalui internet.

Sebagian besar berada di kawasan:

  • Asia,
  • Amerika Utara.

Belum diketahui berapa banyak di antaranya yang telah memasang patch terhadap CVE-2026-20230.

Cisco Semakin Sering Menjadi Target

Dalam beberapa tahun terakhir, Cisco telah memperbaiki sejumlah kerentanan serius pada Unified CM, termasuk:

  • CVE-2024-20253, yang memungkinkan eskalasi hak akses hingga root;
  • CVE-2025-20309, juga memungkinkan perolehan hak akses root;
  • CVE-2026-20045, yang pernah dieksploitasi sebagai zero-day untuk memperoleh eksekusi kode jarak jauh (Remote Code Execution).

Sementara itu, CISA mencatat sejak November 2021 terdapat 93 kerentanan Cisco yang telah masuk ke dalam daftar Known Exploited Vulnerabilities (KEV). Dari jumlah tersebut, enam diketahui pernah dimanfaatkan dalam serangan ransomware.

Bagi organisasi yang masih menjalankan Cisco Unified CM, pemasangan patch terbaru atau penerapan mitigasi sementara menjadi langkah penting untuk menghindari kompromi sistem komunikasi perusahaan.


Sumber: Cisco

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button