5 min de lecture<\/p>\n
Un code d’exploitation public circule concernant la vuln\u00e9rabilit\u00e9 CVE-2026-20230 dans le Cisco Unified Communications Manager. Cisco qualifie cette faille de critique, car un attaquant peut y acc\u00e9der et obtenir les droits root. Cisco n’a pour l’instant observ\u00e9 aucune attaque active, mais publier un exploit de preuve de concept sur Internet lance le chronom\u00e8tre pour tous ceux qui n’ont pas encore appliqu\u00e9 le correctif.<\/strong><\/p>\n Les points cl\u00e9s en bref<\/p>\n \u00c0 lire aussi :<\/span>La faille Splunk qui supprime des fichiers sans connexion<\/a> \/<\/span> Oracle PeopleSoft : faille activement exploit\u00e9e, la CISA met en garde<\/a><\/p>\n Le c\u0153ur du probl\u00e8me r\u00e9side dans une faille de type Server-Side Request Forgery au sein du service WebDialer. Le Cisco Unified Communications Manager ne v\u00e9rifie pas correctement certaines requ\u00eates HTTP, ce qui permet \u00e0 un attaquant d’inciter le serveur \u00e0 envoyer une requ\u00eate \u00e0 sa place et, ce faisant, \u00e0 \u00e9crire des fichiers dans le syst\u00e8me d’exploitation. C’est pr\u00e9cis\u00e9ment cet acc\u00e8s en \u00e9criture qui sert de levier pour obtenir ult\u00e9rieurement les droits root.<\/p>\n Qu’est-ce qu’une vuln\u00e9rabilit\u00e9 SSRF ?<\/strong> Dans le cadre d’une Server-Side Request Forgery, un attaquant am\u00e8ne un serveur \u00e0 ex\u00e9cuter des requ\u00eates en son nom, qu’il ne serait pas cens\u00e9 formuler lui-m\u00eame. Le serveur devient alors un outil, par exemple pour atteindre des syst\u00e8mes internes ou, comme ici, pour \u00e9crire des fichiers \u00e0 des endroits normalement prot\u00e9g\u00e9s.<\/p>\n Pour une plateforme de t\u00e9l\u00e9phonie, l’enjeu est de taille. Le syst\u00e8me est profond\u00e9ment int\u00e9gr\u00e9 \u00e0 l’infrastructure de nombreuses entreprises, souvent connect\u00e9 \u00e0 Active Directory et \u00e0 des segments r\u00e9seau que l’on n’expose pas \u00e0 la l\u00e9g\u00e8re. Un acc\u00e8s root \u00e0 ce syst\u00e8me reste rarement isol\u00e9 ; il constitue un point de d\u00e9part potentiel vers le reste du r\u00e9seau.<\/p>\n Cisco pr\u00e9cise clairement qu’aucune exploitation active n’a \u00e9t\u00e9 observ\u00e9e \u00e0 ce jour. Cette information r\u00e9duit l’urgence, mais ne l’annule pas. D\u00e8s qu’un code de preuve de concept fonctionnel est rendu public, la barri\u00e8re \u00e0 l’entr\u00e9e pour les attaquants baisse consid\u00e9rablement, car une expertise sp\u00e9cialis\u00e9e se transforme en script copiable.<\/p>\n Par le pass\u00e9, pour des vuln\u00e9rabilit\u00e9s SSRF similaires, le d\u00e9lai entre la publication d’un exploit de preuve de concept et les premiers scans de masse s’est souvent r\u00e9v\u00e9l\u00e9 \u00eatre de quelques semaines seulement. La situation actuelle repr\u00e9sente donc un temps d’avertissement, et non un motif de rel\u00e2chement. Si vous planifiez l’application du correctif d\u00e8s maintenant, vous ma\u00eetrisez le calendrier, plut\u00f4t que de le subir face \u00e0 la premi\u00e8re attaque.<\/p>\n La premi\u00e8re \u00e9tape prend quelques minutes et d\u00e9termine l’urgence. Le service WebDialer est-il activ\u00e9 sur ses propres syst\u00e8mes ? L’\u00e9tat peut \u00eatre v\u00e9rifi\u00e9 dans l’interface Serviceability, sous les services fonctionnels. Si le service est d\u00e9sactiv\u00e9, la priorit\u00e9 diminue nettement, mais le correctif doit tout de m\u00eame \u00eatre inclus dans la prochaine maintenance r\u00e9guli\u00e8re. S’il est activ\u00e9, une action imm\u00e9diate est n\u00e9cessaire.<\/p>\n Qui ne peut pas faire les deux choses imm\u00e9diatement a un recours efficace en d\u00e9sactivant le service WebDialer. Contrairement \u00e0 un correctif complet, cela se fait en quelques minutes et retire la base de la vuln\u00e9rabilit\u00e9. Il est important uniquement de documenter proprement la d\u00e9sactivation afin qu\u2019elle ne soit pas accidentellement annul\u00e9e lors du prochain update.<\/p>\n D’apr\u00e8s l’information actuelle, non. Cisco conna\u00eet un code Proof-of-Concept public, mais l’entreprise n\u2019a pas encore observ\u00e9 d’attaques r\u00e9elles. La situation pourrait cependant changer rapidement apr\u00e8s la publication d\u2019un exploit.<\/p>\n Le Unified Communications Manager ainsi que l\u2019\u00e9dition Session Management, mais uniquement si le service WebDialer est activ\u00e9. Ce service est d\u00e9sactiv\u00e9 par d\u00e9faut.<\/p>\n Cisco la classe comme critique (Security Impact Rating Critical), avec un score CVSS de 8,6. Une attaque r\u00e9ussie pourrait permettre d’\u00e9crire des fichiers jusqu’\u00e0 l’escalade vers les droits root, donc une prise totale du contr\u00f4le du syst\u00e8me.<\/p>\n Pour la version 14, le Service Update 14SU6 est disponible. Pour la version 15, l\u2019update r\u00e9gulier 15SU5 n\u2019est pr\u00e9vu qu\u2019en septembre 2026 ; jusqu\u2019\u00e0 ce moment, un correctif interm\u00e9diaire est propos\u00e9 comme solution temporaire.<\/p>\n D\u00e9sactiver le service WebDialer s\u2019il n\u2019est pas utilis\u00e9. Cela supprime imm\u00e9diatement le chemin d\u2019attaque et permet de gagner du temps jusqu\u2019\u00e0 l\u2019installation de l\u2019update r\u00e9gulier.<\/p>\n Plus d\u2019articles du r\u00e9seau MBF Media<\/p>\n\n
Ce qui rend cette vuln\u00e9rabilit\u00e9 si dangereuse<\/h2>\n
Pourquoi l’absence d’exploitation active ne doit pas vous rassurer<\/h2>\n
Ce que les \u00e9quipes de s\u00e9curit\u00e9 doivent faire concr\u00e8tement maintenant<\/h2>\n
Foire aux questions<\/h2>\n
Le CVE-2026-20230 est-il d\u00e9j\u00e0 utilis\u00e9 activement ?<\/h3>\n
Quels syst\u00e8mes sont affect\u00e9s par cette vuln\u00e9rabilit\u00e9 ?<\/h3>\n
Quelle est la gravit\u00e9 de cette vuln\u00e9rabilit\u00e9 ?<\/h3>\n
Quel correctif ferme cette vuln\u00e9rabilit\u00e9 ?<\/h3>\n
Quel est le moyen de protection le plus rapide sans correctif ?<\/h3>\n
Conseils de lecture de la r\u00e9daction<\/h3>\n
\n