Una vulnerabilità ad alta severità in Cisco Unified Communications Manager (Unified CM) e nella variante Session Management Edition (Unified CM SME) è passata dalla divulgazione allo sfruttamento attivo nel giro di pochi giorni. È l’ennesima riconferma del fatto che il tempo che separa la pubblicazione di una patch dal suo sfruttamento in rete si è ridotto a un margine che i processi tradizionali di gestione delle vulnerabilità non riescono a coprire.

La falla, monitorata con la sigla CVE-2026-20230, riguarda il componente WebDialer di Unified CM, una funzione che consente agli utenti di avviare chiamate telefoniche direttamente dal browser. Un difetto nel modo in cui questo componente gestisce le richieste in arrivo permette a un attaccante remoto, senza bisogno di credenziali, di manipolare il sistema per scrivere file arbitrari sul server e ottenere successivamente i privilegi di amministratore assoluto (root) sull'appliance. Cisco ha pubblicato le patch il 3 giugno, classificando la vulnerabilità come critica, il primo sfruttamento osservato in rete è stato segnalato lo scorso fine settimana dalla società di threat intelligence Defused, quando non figurava ancora nel catalogo Known Exploited Vulnerabilities di CISA.

Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

L'attività rilevata ha per ora natura ricognitiva, con tentativi di scrittura di un file di test per identificare i sistemi esposti, senza installare webshell. La finestra di rischio si è però allargata ulteriormente il 23 giugno, quando SSD Secure Disclosure ha pubblicato un write-up tecnico dettagliato della vulnerabilità con relativo proof-of-concept.

La falla interessa le installazioni in cui il servizio WebDialer è abilitato. Cisco ha rilasciato patch per le versioni 14 (14SU6) e ha previsto il rilascio per la versione 15 (15SU5) a settembre 2026, con patch COP interim disponibili nel frattempo. Disabilitare il servizio WebDialer elimina la superficie d'attacco.

La finestra si stringe

Quanto accaduto con questa falla rientra in una casistica ben nota: ci sono attaccanti che avviano lo sfruttamento di una falla il giorno successivo alla sua pubblicazione. Il report Kaspersky Security Services 2026 certifica che il 44% degli attacchi reali inizia con lo sfruttamento di vulnerabilità in applicazioni esposte su Internet, spesso con proof-of-concept già disponibili pubblicamente al momento dell'attacco. E, come sottolineato nell'analisi sull'AI agentica come vettore di supply chain attack, la finestra tradizionale di 30 o 60 giorni per applicare le patch è di fatto obsoleta: il tempo tra la pubblicazione di una vulnerabilità e il suo sfruttamento attivo si è ridotto a giorni, a volte a poche ore.

In questo contesto, la prioritizzazione delle vulnerabilità basata sul rischio reale (che non corrisponde necessariamente al punteggio CVSS) è diventata un'attività operativa indispensabile per una resilienza efficace. Sapere quali falle hanno un exploit pubblico, quali sistemi esposti sono raggiungibili dall'esterno e quale sia l'impatto potenziale sull'infrastruttura sono le domande che determinano l'ordine degli interventi, molto prima che arrivi la segnalazione di sfruttamento attivo.