關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2026.01.22
漏洞與風險/資安漏洞
思科修復了攻擊中利用的統一通訊遠端程式碼執行零日漏洞
關鍵漏洞背景:協作通訊系統的零日危機

在數位轉型的趨勢下,統一通訊(Unified Communications, UC)已成為現代企業運作的血管,負責處理語音、影像與即時訊息。然而,這類系統的高度聯網性也使其成為攻擊者的首選目標。思科已修復了 Unified Communications 和 Webex Calling 的一個嚴重遠端程式碼執行漏洞,該漏洞已被積極利用為零日攻擊。

此漏洞編號為 CVE-2026-20045,影響 Cisco Unified Communications Manager (Unified CM)、Unified CM Session Management Edition (SME)、Unified CM IM & Presence、Cisco Unity Connection 和 Webex Calling Dedicated Instance,思科已發布軟體更新和修補程式檔案以解決該漏洞。台灣觀測到,美國網路安全暨基礎設施安全局(CISA)已迅速將此漏洞納入其「已知遭利用漏洞清單(KEV)」,顯示出其威脅程度已達國家級防禦層次。


技術成因剖析:輸入驗證不當引發的連鎖反應

根據技術分析報告,該漏洞的核心問題在於 Web 介面的過濾機制失靈。思科在其安全公告中警告說:此漏洞是由於對 HTTP 請求中用戶提供的輸入驗證不當造成的。攻擊者可以通過向受影響設備的基於 Web 的管理界面發送一系列精心構造的 HTTP 請求來利用此漏洞。

具體而言,這類「輸入驗證不當」通常涉及 Web 管理頁面在處理特定的 HTTP 參數時,未能過濾掉惡意的轉義字元或系統指令。攻擊者無需預先取得有效的管理憑證,即可透過網路發送惡意封包,觸發系統後端的代碼執行邏輯。


權限提升路徑:從用戶級存取到 Root 全權接管

CVE-2026-20045 的危險之處不僅在於「進入」系統,更在於其後的「權限擴張」。成功利用漏洞可能使攻擊者獲得底層作業系統的用戶級存取權限,然後提升權限至 root。雖然該漏洞的 CVSS 評分為 8.2,但思科將其評為「嚴重」級別,因為利用該漏洞可獲得伺服器上的 root 權限。

在取得 root 權限後,攻擊者將擁有對伺服器的完全控制權。這意味著他們可以截獲企業的語音通話數據、存取敏感的通訊錄資料、竄改通話路由,甚至將該伺服器作為跳板,進一步滲透至企業內部的核心網路。對於將 UC 系統部署在 DMZ(去識別化區)的企業而言,這無異於門戶大開。


影響範圍與產品矩陣分析

此漏洞的衝擊範圍涵蓋了思科協作組合的多個核心組件。台灣將受影響的產品整理如下:

  • Cisco Unified Communications Manager (Unified CM):企業語音與視訊通話的核心處理平台。

  • Unified CM SME:用於跨大型企業站點的通訊 Session 管理。

  • Unified CM IM & Presence Service:處理企業即時訊息與狀態顯示。

  • Cisco Unity Connection:語音郵件與整合訊息傳遞系統。

  • Webex Calling Dedicated Instance:雲端協作架構中的專用實例。

值得注意的是,不論設備的配置如何,只要運行受影響的版本,該漏洞均能被利用,這排除了透過簡單配置變更來閃避漏洞的可能性。


緊急應變與修補策略建議

面對已在野外(In the Wild)被利用的零日漏洞,傳統的緩解措施已顯得力不從心。思科表示,軟體更新和修補程式檔案是針對特定版本的,因此在應用補丁之前應該先查看 README 文件。思科產品安全事件回應團隊(PSIRT) 已確認,有人試圖利用該漏洞,並敦促客戶盡快升級到最新軟體。該公司還表示,除了安裝更新之外,沒有其他方法可以緩解該缺陷。

建議企業採取以下標準應變流程:

  1. 盤點資產:確認內部是否有對外開放的思科 UC 管理介面(通常為 HTTP/HTTPS 埠)。

  2. 存取限制:在尚未完成更新前,應透過防火牆 ACL 嚴格限制管理介面的存取來源 IP,僅允許特定的網管內網網段連線。

  3. 執行更新:參照 README 指引下載並安裝官方發布的修補程式(Patch)或升級至固定版本。

  4. 日誌審核:檢查 HTTP 存取日誌中是否有針對管理介面的異常序列請求,以評估系統是否已被滲透。


主動防禦的必要性

CVE-2026-20045 再次提醒我們,邊界防禦與及時補丁管理是資安工作的基本盤。隨著攻擊者對關鍵通訊基礎設施的興趣日益濃厚,企業必須建立更快速的漏洞響應機制。台灣將持續監測此漏洞的後續利用情況,並協助客戶建構具備韌性的通訊架構。


資料來源:https://www.bleepingcomputer.com/news/security/cisco-fixes-unified-communications-rce-zero-day-exploited-in-attacks/
 
針對思科(Cisco)近期修復的 Unified Communications 與 Webex Calling 嚴重 RCE 零日漏洞(CVE-2026-20045)提供深度研究報告。