En bref

  • CVE-2026-20045 (CVSS 8.2/Critical) : injection de code non authentifiée dans l'interface web Cisco Unified Communications, escalade root confirmée
  • Produits affectés : Unified CM, Unified CM SME, Unified CM IM & Presence, Unity Connection, Webex Calling Dedicated Instance — versions 12.5, 14 et 15
  • Action urgente : appliquer immédiatement les patches Cisco (advisory cisco-sa-voice-rce-mORhqY4b) — aucun workaround disponible

Les faits

La vulnérabilité CVE-2026-20045, classifiée CWE-94 (Improper Control of Generation of Code), affecte l'interface de gestion web de plusieurs produits Cisco Unified Communications. Avec un score CVSS v3.1 de 8.2 (High) mais une sévérité qualifiée de Critical par Cisco lui-même en raison de l'escalade de privilèges à root, cette faille permet à un attaquant non authentifié d'exécuter du code arbitraire à distance et d'obtenir le contrôle total des serveurs cibles.

Le vecteur d'attaque est particulièrement préoccupant : aucune authentification préalable n'est requise, et l'exploitation s'effectue exclusivement via des requêtes HTTP forgées adressées à l'interface d'administration exposée sur le réseau. Le problème réside dans une validation insuffisante des paramètres fournis par l'utilisateur lors du traitement des requêtes HTTP, permettant l'injection de commandes système au niveau de l'application web Cisco. La faille est due à l'absence de contrôles d'entrée sur certains paramètres qui sont transmis sans filtrage aux opérations du système d'exploitation sous-jacent.

L'exploitation s'effectue en deux phases distinctes. Dans un premier temps, l'attaquant envoie une séquence de requêtes HTTP spécialement conçues vers l'interface d'administration, ce qui lui accorde un accès initial de niveau utilisateur sur le système d'exploitation sous-jacent. Dans un second temps, un mécanisme d'escalade de privilèges intégré à la chaîne d'exploitation permet d'atteindre le niveau root, offrant un contrôle total sur le serveur compromis. Cette progression en deux étapes est caractéristique des exploits sophistiqués ciblant les équipements de communication d'entreprise, et a été documentée par les équipes d'Arctic Wolf et eSentire.

Les produits concernés par CVE-2026-20045 sont : Cisco Unified Communications Manager (Unified CM) dans ses versions 12.5, 14 et 15 ; Cisco Unified CM Session Management Edition (SME) ; Cisco Unified CM IM & Presence Service (IM&P) ; Cisco Unity Connection ; et Cisco Webex Calling Dedicated Instance. Ces plateformes sont massivement déployées dans les environnements d'entreprise pour gérer les communications vocales et de messagerie unifiée, représentant potentiellement des millions d'installations dans le monde. Dark Reading estime que la faille pourrait affecter des millions d'utilisateurs finaux à travers les déploiements mondiaux de Cisco UC.

Cisco a confirmé que CVE-2026-20045 a été activement exploitée avant même la disponibilité des patches, qualifiant cette faille de véritable 0-day. La CISA (Cybersecurity and Infrastructure Security Agency) a officiellement ajouté CVE-2026-20045 à son catalogue Known Exploited Vulnerabilities (KEV), exigeant des agences fédérales américaines l'application des correctifs avant le 11 février 2026. L'absence d'un score CVSSv3 supérieur à 9.0 ne doit pas masquer la dangerosité réelle de cette vulnérabilité : l'accès root obtenu en fin d'exploitation permet de compromettre intégralement l'infrastructure de communications d'une organisation, d'intercepter les flux vocaux et d'utiliser le serveur comme pivot vers d'autres ressources internes.

Du point de vue technique, la classification CWE-94 indique que la faille est enracinée dans un traitement insuffisant des entrées HTTP avant leur utilisation dans des opérations système. Cette classe de vulnérabilités est bien documentée et les techniques d'exploitation sont maîtrisées par de nombreux acteurs malveillants, des groupes APT aux cybercriminels opportunistes. Selon BleepingComputer et SOCRadar, les premières tentatives d'exploitation ont été détectées sur des équipements exposés directement sur Internet dès les premières heures suivant la divulgation. The Hacker News et Cybersecurity News ont également documenté des cas de compromission réussie dans des environnements de production.

Cisco a confirmé dans son advisory cisco-sa-voice-rce-mORhqY4b qu'il n'existe aucun workaround permettant de mitiger cette vulnérabilité sans appliquer les patches. Cette absence totale de mesure de contournement rend la mise à jour immédiate impérative pour toute organisation déployant ces solutions. L'advisory Cisco précise les versions corrigées pour chaque produit affecté dans une matrice détaillée disponible via le Cisco Security Center, incluant les numéros de build exacts pour chaque branche affectée.

Du point de vue de l'investigation forensique, plusieurs indicateurs de compromission (IoC) ont été documentés par les équipes de recherche d'Arctic Wolf, eSentire et SentinelOne : patterns de requêtes HTTP anormaux ciblant l'interface de gestion avec des paramètres encodés ou malformés ; processus enfants inattendus générés depuis les processus du serveur web Cisco ; tentatives de création de nouveaux comptes administrateurs système ou modification des fichiers sudoers ; connexions réseau sortantes suspectes depuis les composants d'infrastructure vocale vers des adresses IP externes non répertoriées ; et modifications inhabituelles des fichiers de configuration Cisco UC.

Impact et exposition

L'exposition est particulièrement élevée car les interfaces de gestion Cisco Unified Communications sont fréquemment accessibles depuis des réseaux internes étendus, voire parfois exposées sur Internet pour les équipes d'administration à distance. Dans un contexte où le travail hybride a multiplié les accès distants aux infrastructures de communications, la surface d'attaque s'est considérablement élargie. L'absence d'authentification requise signifie que tout équipement réseau ayant accès à l'interface d'administration est un vecteur d'attaque potentiel.

Un attaquant ayant obtenu l'accès root à un serveur Unified CM peut intercepter toutes les communications téléphoniques de l'organisation, modifier les configurations de routage vocal, exfiltrer les enregistrements d'appels et les données de présence, voire utiliser le serveur compromis comme pivot pour attaquer d'autres segments du réseau interne. Dans les environnements où Webex Calling Dedicated Instance est déployé, l'impact peut s'étendre aux communications cloud de l'entreprise, touchant potentiellement des milliers d'utilisateurs finaux.

Les secteurs les plus exposés incluent les grandes entreprises, les administrations publiques, les établissements de santé et les opérateurs de télécommunications qui s'appuient sur Cisco Unified Communications pour leur infrastructure vocale critique. La confirmation d'exploitations actives par la CISA et les chercheurs de BleepingComputer et SOCRadar indique que des attaquants ont déjà compromis des systèmes vulnérables dans la nature, avec des objectifs allant de l'espionnage industriel à la mise en place de backdoors persistantes.

Les équipes SOC et les administrateurs système doivent configurer des alertes spécifiques sur les logs d'accès HTTP des serveurs Unified CM, en recherchant des patterns d'injection caractéristiques : encodages inhabituels dans les paramètres, séquences de requêtes anormales vers les endpoints d'administration, pics de trafic non justifiés vers le port de gestion HTTPS, ou tentatives répétées vers des paths d'administration non documentés.

Recommandations immédiates

  • Appliquer immédiatement les patches Cisco : Unified CM 15.0.1.13900-20, 14.0.1.15900-16, 12.5.1.23900-40 — advisory : Cisco Security Advisory cisco-sa-voice-rce-mORhqY4b
  • Restreindre l'accès à l'interface de gestion web Unified CM aux seules adresses IP d'administration via ACLs réseau ou segmentation VLAN dédié
  • Auditer les logs HTTP des 30 derniers jours pour détecter des patterns d'exploitation potentiels (requêtes anormales vers les endpoints d'administration avec paramètres encodés ou malformés)
  • Surveiller la création de nouveaux comptes système et les processus enfants inattendus sur les serveurs Unified CM et Unity Connection
  • Vérifier les connexions réseau sortantes depuis les serveurs de communication pour identifier des pivotements ou des exfiltrations potentielles vers des IP externes non autorisées
  • Si le patch ne peut être appliqué immédiatement, isoler les interfaces d'administration derrière un VPN avec authentification forte (MFA) comme mesure d'urgence temporaire, en attendant la maintenance planifiée

⚠️ Urgence

CVE-2026-20045 est activement exploitée dans la nature, confirmée par la CISA qui l'a ajoutée à son catalogue KEV. Aucun workaround n'est disponible selon Cisco. Si votre organisation utilise Cisco Unified CM, Unity Connection ou Webex Calling Dedicated Instance, l'application immédiate des patches est impérative. Tout retard expose votre infrastructure de communications à une compromission totale avec accès root.

Comment savoir si je suis vulnérable ?

Identifiez votre version Cisco Unified Communications Manager via l'interface web : Administration > Help > About. Versions vulnérables : 12.5.x antérieure à 12.5.1.23900-40, 14.x antérieure à 14.0.1.15900-16, 15.x antérieure à 15.0.1.13900-20. Pour Unity Connection et Webex Calling, consultez la matrice de versions dans l'advisory Cisco cisco-sa-voice-rce-mORhqY4b. Si votre interface d'administration est accessible depuis Internet sans restriction réseau, considérez votre système comme potentiellement compromis et procédez à un audit forensique immédiat.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit