Cisco, saldırganların Haziran başında yamanmış olan Unified Communications Manager (Unified CM) zafiyetini istismar etmeye başladıklarını doğruladı.
Unified CM (eski adıyla Cisco CallManager), Cisco IP telefon sistemlerinin merkezi kontrol sistemi olup, çağrı yönlendirme, cihaz yönetimi ve telekomünikasyon özelliklerini yönetmektedir.
Saldırı Nasıl Çalışıyor?
Yetkisiz tehdit aktörleri, CVE-2026-20230 kodlu zafiyeti, düşük karmaşıklıktaki sunucu tarafı istek sahtekarlığı (SSRF) saldırılarıyla uzaktan istismar edebilir. Bu saldırılar, özel olarak hazırlanmış HTTP istekleri göndererek gerçekleştirilmektedir.
Cisco, bu zafiyetin karşısında, 3 Haziran’da güvenlik yamaları yayımladı ve ürün güvenliği olaylarıyla ilgili yanıt ekibinin (PSIRT) CVE-2026-20230 için kamuya açık kanıt niteliğinde istismar kodu farkında olduğunu, ancak aktif bir istismar tespit etmediklerini bildirdi.
Ancak, yaklaşık üç hafta sonra, 22 Haziran’da tehdit istihbarat şirketi Defused, saldırganların dosya:// yüklemelerini kullanarak hedef cihazlarda dosyalar oluşturmak için bu zafiyeti istismar etmeye başladıklarını açıkladı.

Bir gün sonra, SSD Secure, bir teknik rapor yayımlayarak, zafiyetin çalışma şekli hakkında bilgi verip kanıt niteliğinde bir istismar sağladı.
BleepingComputer, o dönemde Cisco ile iletişime geçmiş olup, zafiyetin aktifleştirilip aktifleştirilmediğini ve savunma ekiplerine herhangi bir IOC paylaşımı yapılıp yapılmayacağını sordu; ancak henüz yanıt alınamamıştır.
Cisco, bu Çarşamba, saldırganların şu anda CVE-2026-20230 zafiyetini istismar ettiğini ve müşterilerine sistemlerini bu istismara karşı güvence altına almalarını önerdi.
Cisco, güncellemelerin gerekliliği ile ilgili şu ifadeleri kullanmıştır: “Cisco PSIRT, bu danışmanlıkta bahsedilen zafiyet için kanıt niteliğinde istismar kodunun mevcut olduğunun farkındadır. Haziran 2026’da, Cisco PSIRT bu zafiyetin etkin bir şekilde istismarına dair bilgilendirildi.”
Etkilenen Sistemler
Cisco, hemen yapılandıramayan yöneticiler ve güvenlik ekipleri için bazı önlemler paylaşmıştır:
- 14SU6 veya 15SU5 sürümlerini yükleyin.
- Yamanın uygulanana kadar zayıf WebDialer hizmetini devre dışı bırakın.
Güvenlik gözlemci kuruluşu Shadowserver, şu anda 200’den fazla Cisco Unified CM örneğini çevrimiçi izlemektedir. Bu örneklerin çoğu Asya ve Kuzey Amerika’da bulunmaktadır, ancak kaç tanesinin CVE-2026-20230 saldırılarına karşı güvence altına alındığına dair herhangi bir bilgi bulunmamaktadır.

Son yıllarda, Cisco aynı zamanda kök ayrıcalıkları elde etme ve uzaktan kod çalıştırma gibi istismarlarla ilgili başka iki Unified CM zafiyetini (CVE-2024-20253 ve CVE-2025-20309 ile birlikte CVE-2026-20045) düzeltmiştir. Birçok Cisco zafiyeti, Kasım 2021’den bu yana aktif bir şekilde istismar edilmektedir.
Çözüm ve Korunma
Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 93 Cisco zafiyetini sahada aktif olarak istismar edilenler olarak etiketlemiştir; bunların altısı fidye yazılımı saldırılarında kötüye kullanılmıştır.
Aksiyon: Ne Yapmalısınız?
Okuyucuların, sistemlerini güvence altına almak için:
- Hızla 14SU6 veya 15SU5 sürümüne güncelleme yapmaları
- Gerekirse zayıf WebDialer hizmetini devre dışı bırakmaları
- Güncel durumdan haberdar olmaları için Cisco’nun duyurularını takip etmeleri önerilmektedir.


