Cisco выпустила срочное обновление для корпоративной телефонии и голосовых сервисов. Причина не формальная: уязвимость CVE-2026-20045 с оценкой 8,2 по CVSS уже используется в реальных атаках. Cisco прямо пишет, что видит попытки эксплуатации, обходных мер нет, помогает только установка исправления.
Проблема затрагивает инфраструктуру связи, которую компании часто ставят в центр внутренней коммуникации: Cisco Unified Communications Manager, его вариант Session Management Edition, сервис IM and Presence, Unity Connection и Webex Calling Dedicated Instance. Это те самые узлы, через которые идет часть звонков, голосовой почты, контакт-центров и интеграций. Поэтому инцидент здесь редко остается чисто про телефонию.
CVE-2026-20045 позволяет удаленному злоумышленнику без аутентификации выполнять команды на системе. Ошибка связана с недостаточной проверкой данных в HTTP-запросах к веб-интерфейсу управления. В типовом сценарии атакующий отправляет специально сформированные запросы, получает выполнение на уровне обычного пользователя, а затем повышает права до root. Именно возможность дойти до полного контроля и делает эту историю опасной на практике, даже при оценке 8,2.
Если такой узел скомпрометирован, последствия могут быть шире, чем кажется на первый взгляд. Можно вмешиваться в маршрутизацию вызовов, менять настройки, закрепляться в системе и использовать устройство как точку входа дальше в сеть. Во многих организациях эти продукты тесно связаны с каталогами пользователей и другими критичными сервисами, поэтому риск не ограничивается аудиоканалами.
Исправления выпущены для релизов 14 и 15. Для версии 12.5 Cisco рекомендует не искать временных решений, а планировать миграцию на поддерживаемую ветку.
Если вы на релизе 14, Cisco предлагает обновиться до 14SU5 либо применить патч-файл ciscocm.V14SU4a_CSCwr21851_remote_code_v1.cop.sha512.
Для релиза 15 обновление до 15SU4 запланировано на март 2026 года, но уже сейчас доступны патчи для 15SU2 и 15SU3. Для Unity Connection предусмотрен отдельный патч-файл ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512.
21 января 2026 Агентство по кибербезопасности и защите инфраструктуры США добавило CVE-2026-20045 в каталог известных эксплуатируемых уязвимостей. Для федеральных гражданских ведомств США установлен срок установки исправлений до 11 февраля 2026 года. Уязвимость обнаружил анонимный внешний исследователь.
Это уже вторая критичная проблема Cisco за короткий промежуток времени, о которой известно, что она используется в атаках. Менее чем за неделю до этого Cisco закрывала CVE-2025-20393 в AsyncOS для Secure Email Gateway и Secure Email and Web Manager с оценкой 10,0. Та уязвимость позволяла выполнять команды с правами root через функцию Spam Quarantine и, по данным Cisco Talos, эксплуатировалась группировкой UAT-9686 как минимум с конца ноября 2025 года.
Если говорить без драматизации, вывод простой: когда производитель пишет, что эксплуатация уже идет и обходных путей нет, это как раз тот случай, когда не стоит ждать планового окна. Особенно если речь про узлы, через которые проходит внутренняя связь и часть бизнес-процессов.
