NetCaptain

Menu

Opnieuw actief misbruikte zero‑day in Cisco UC‑platformen

Eind januari 2026 patchte Cisco CVE‑2026‑20045, een kritieke kwetsbaarheid die aanvallers al actief misbruiken. De kwetsbaarheid heeft een CVSS‑score van 8.2 en maakt het mogelijk om via een HTTP‑request controle over te nemen op systemen binnen Unified Communications‑omgevingen. Wie het lek misbruikt, krijgt gebruikersrechten op het onderliggende OS en kan na privilege‑escalatie zelfs root‑toegang krijgen. De kern van het probleem zit in onvoldoende validatie van invoer in de webinterface, waardoor externe code‑uitvoering mogelijk wordt.

Voor systeembeheerders is dit er een die je niet wilt missen. Het gaat om producten die diep in bedrijfscommunicatie zitten. Denk aan callmanagement, aanwezigheid, voicemail en Webex Calling Dedicated Instances. Tijdelijke mitigaties bestaan niet, doordat het lek in de basisverwerking van HTTP‑verkeer zit. Alleen een software‑update herstelt de fout. Cisco meldt dat het lek momenteel al door kwaadwillenden wordt misbruikt.

Welke Cisco-producten zijn geraakt?

Cisco noemt meerdere producten binnen de Collaboration‑suite die kwetsbaar zijn. Het gaat om Unified Communications Manager (Unified CM), de Session Management Edition (SME), de IM&P‑service, Unity Connection en Webex Calling Dedicated Instances. Deze producten draaien grotendeels op dezelfde webinterface‑architectuur, waardoor één kwetsbaarheid direct een volledige productfamilie raakt. De volgende producten krijgen een update:

Unified CM:

  • versie 12.5 is bijgewerkt naar een vaste release
  • versie 14 vereist installatie van patchbestand ciscocm.V14SU4a_CSCwr21851_remote_code_v1.cop.sha512 of migratie naar 14SU5
  • versie 15 krijgt een fix in de 15SU4‑release of via de patchbestanden ciscocm.V15SU2_CSCwr21851_remote_code_v1.cop.sha512en ciscocm.V15SU3_CSCwr21851_remote_code_v1.cop.sha512

Unity Connection:

  • versie 12.5 vraagt migratie naar een vaste release
  • versie 14 krijgt het patchbestand ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512
  • versie 15 krijgt een update binnen de 15SU4‑lijn

Een bredere trend: communicatieplatformen onder vuur

CVE‑2026‑20045 verschijnt vlak na een andere grote Cisco‑patch: CVE‑2025‑20393, een RCE met CVSS 10.0 in AsyncOS voor Cisco Secure Email Gateway. Ook die fout maakt root‑uitvoering mogelijk en toont aan dat platformen voor communicatie en samenwerking populair zijn bij aanvallers.

Cisco staat niet alleen. In dezelfde periode patcht Fortinet een RCE in FortiWeb en dicht Palo Alto Networks een DoS‑kwetsbaarheid in GlobalProtect. Bovendien melden meerdere cloudproviders supply‑chainproblemen. De rode draad is dat aanvallers steeds vaker kiezen voor systemen die bedrijfskritisch zijn en veel verkeer verwerken.

Wat betekent dit voor jouw beheer?

Voor systeembeheerders betekent deze kwetsbaarheid dat je jouw UC‑omgeving moet nalopen op versieniveau, patchstatus en afwijkingen in logging. Let vooral op ongebruikelijke HTTP‑requests richting admininterfaces of foutmeldingen die duiden op mislukte authenticatie voorafgaand aan privilege‑escalatie.

Omdat er geen tijdelijke workaround bestaat, is patching de enige oplossing. Controleer daarom:

  • of alle nodes binnen een cluster dezelfde update draaien
  • of koppelingen met directory‑diensten na de patch nog correct werken
  • of custom integraties of scripts afhankelijk zijn van specifieke OS‑componenten die door de update veranderen
  • of monitoring‑tools opnieuw moeten worden gekoppeld door wijzigingen aan certificaten of services

Voor multi‑tenant‑opstellingen of geschaalde telefonieomgevingen is het verstandig de update planmatig uit te rollen, bijvoorbeeld node voor node, zodat je callprocessing niet onderbreekt.

Hoe NetCaptain hierbij helpt

Binnen NetCaptain herken je kwetsbaarheden als deze direct doordat ze automatisch worden gedetecteerd. Juist bij kwetsbaarheden in communicatiesystemen is snelheid belangrijk. NetCaptain houdt het overzicht, zodat jij niet handmatig door advisories hoeft te spitten.

Deel dit artikel

LinkedIn
WhatsApp
X
Email
Facebook
Foto van Door John de Kroon

Door John de Kroon

John de Kroon is de CTO van NetCaptain. Met meer dan 15 jaar ervaring als Ethisch Hacker heeft hij de leiding over de ontwikkelings- en onderzoekstak binnen NetCaptain.

Verder lezen?

Microsoft365

Microsoft brengt noodpatch uit voor zeroday in Office

28 januari 2026

Afgelopen maandag bracht Microsoft noodpatches uit voor een ernstig zero-day-lek in Office, geïdentificeerd als CVE-2026-21509. Het lek kreeg een CVSS-score van 7,8/10 en stelt een aanvaller in staat een beveiligingsfunctie te omzeilen die normaal gesproken onveilige Object Linking and Embedding (OLE)-besturingselementen blokkeert. De kwetsbaarheid wordt geactiveerd wanneer een ontvanger een

Lees verder »

De Cyberbeveiligingswet en aantoonbare grip op digitale risico’s

22 januari 2026

De Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2 richtlijn, treedt naar verwachting in 2026 in werking en vergroot het aantal organisaties dat onder cybersecuritytoezicht valt aanzienlijk. Niet alleen vitale sectoren, maar ook digitale dienstverleners zoals MSP’s en andere partijen in complexe IT ketens krijgen te maken met nieuwe verplichtingen.

Lees verder »

Cisco waarschuwt voor actief misbruikte 0-day kwetsbaarheid

18 december 2025

Cisco komt met een openbare waarschuwing over een zero-day-kwetsbaarheid in zijn AsyncOS-software. Het bedrijf beschikt over informatie dat de kwetsbaarheid momenteel actief wordt misbruikt door een aan China gelieerde hackersgroep, bekend als UAT-9686. De kwetsbaarheid, geregistreerd als CVE-2025-20393, heeft de maximale CVSS-score van van 10,0 waardoor deze kwetsbaarheid als ‘kritiek’

Lees verder »