🔍 Contexte

Publié le 23 juin 2026 par l’équipe technique de SSD Secure Disclosure, cet article présente une analyse technique complète d’une vulnérabilité critique affectant Cisco Unified Communications Manager (CUCM) version 15.0.1.13901-2, découverte par un chercheur indépendant.

🎯 Nature de la vulnérabilité

La vulnérabilité CVE-2026-20230 est une chaîne d’exploitation combinant plusieurs failles :

  • Un endpoint non authentifié /installClusterStatusExecute exposé via le servlet ClusterInstallStatusServlet dans web.xml
  • Une SSRF (Server-Side Request Forgery) exploitable via des requêtes HTTPS, contournant la validation d’hôte grâce à l’obtention du vrai hostname via /webdialer/Version.jws?wsdl
  • Une écriture de fichier arbitraire inspirée de la vulnérabilité historique CVE-2019-0227 (Axis 1.4), permettant de déposer un fichier WSDD malveillant

⚙️ Chaîne d’exploitation

  1. Reconnaissance : récupération du hostname réel via https://<cible>/webdialer/Version.jws?wsdl
  2. SSRF + écriture de fichier : envoi d’une requête GET vers /cmplatform/installClusterStatusExecute avec un payload encodé créant un nouveau service Axis (randomR11) via un descripteur WSDD
  3. Déploiement d’un premier webshell (aaa.jsp) via le service randomR11 pour écrire des fichiers arbitraires
  4. Déploiement d’un webshell final (c.jsp) permettant l’exécution de commandes système arbitraires
  5. Exécution de commandes via https://<cible>/platform-services/axis2-web/c.jsp?pwd=123&i=id

🛠️ Composants techniques impliqués

  • Fichier de configuration : \jakarta-tomcat\webapps\cmplatform\WEB-INF\web.xml
  • Classe vulnérable : com.cisco.ccm.cmplatform.servlets.ClusterInstallStatusServlet
  • Filtre de sécurité contourné : com.cisco.ccm.common.security.InjectionFilter
  • Mécanisme d’exploitation : Apache Axis LogHandler pour écriture de fichiers
  • Webshells déposés : aaa.jsp, c.jsp

🩹 Correctif

Cisco a publié un correctif disponible via l’advisory officiel cisco-sa-cucm-ssrf-cXPnHcW.

📄 Nature de l’article

Il s’agit d’une analyse technique approfondie (full disclosure) publiée par SSD Secure Disclosure, incluant la preuve de concept complète, le code d’exploitation et la chaîne d’attaque pas à pas.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1505.003 — Server Software Component: Web Shell (Persistence)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1083 — File and Directory Discovery (Discovery)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1592.004 — Gather Victim Host Information: Client Configurations (Reconnaissance)

IOC

  • URLs : https://192.168.182.50/webdialer/Version.jws?wsdlURLhaus
  • URLs : https://192.168.220.139/platform-services/axis2-web/c.jsp?pwd=123&i=idURLhaus
  • CVEs : CVE-2026-20230NVD · CIRCL
  • CVEs : CVE-2019-0227NVD · CIRCL
  • Fichiers : aaa.jsp
  • Fichiers : c.jsp
  • Chemins : /common/log/taos-log-a/tomcat/webapps/platform-services/axis2-web/aaa.jsp
  • Chemins : /common/log/taos-log-a/tomcat/webapps/platform-services/axis2-web/c.jsp

Malware / Outils

  • JSP Webshell (aaa.jsp) (backdoor)
  • JSP Webshell (c.jsp) (backdoor)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ⬜ ssd-disclosure.com — source non référencée (0pts)
  • ✅ 7696 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 8 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ 0/2 IOCs confirmés externellement (0pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/2 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://ssd-disclosure.com/cisco-unified-communications-manager-arbitrary-file-write-to-rce/