Cisco Unified Communications Manager(Unified CM)およびUnified CM Session Management Edition(Unified CM SME)に影響を与える深刻なサーバーサイドリクエストフォージェリ(SSRF)の脆弱性を対象としたコンセプト実証(PoC)エクスプロイトが公開されました。これにより、エンタープライズ環境での実際の悪用リスクが高まっています。
Cisco Unified Managerのセキュリティ脆弱性
CVE-2026-20230として追跡され、CiscoアドバイザリのCisco-sa-cucm-ssrf-cXPnHcWに詳細が記載されているこの脆弱性は、CVSS v3.1ベーススコアが8.6に設定されています。CVSSメトリクスでは「High(高)」と評価されているものの、攻撃者が権限をrootへ昇格させる可能性があるとして、CiscoはCritical Security Impact Rating(SIR:重大セキュリティ影響評価)を独自に付与しています。
この脆弱性は、HTTPリクエストにおける不適切な入力検証に起因するもので、CWE-918(SSRF)に分類されます。認証を持たない遠隔の攻撃者が内部サービスに不正アクセスできる状態になります。
攻撃者は、脆弱なシステムに対して細工したHTTPリクエストを送信することでこの脆弱性を悪用できます。悪用に成功すると、SSRF攻撃の実行に加え、基盤となるオペレーティングシステムへの任意ファイルの書き込みが可能になります。書き込まれたファイルはその後、権限昇格に利用される可能性があり、最終的にはシステム全体の侵害につながるおそれがあります。
この問題が悪用可能になるのは、Cisco WebDialerサービスが有効化されている場合に限られます。同サービスはデフォルトでは無効化されていますが、一部の環境では有効になっている場合があります。
公開PoCエクスプロイトのリリースにより、攻撃者が実際の攻撃手法を再現できるようになったため、リスクは大幅に高まっています。
セキュリティ研究者によると、このエクスプロイトはSSRFを利用したファイル書き込み能力を実証するものであり、永続化やさらなる攻撃への足がかりとして悪用される可能性があるとのことです。特に、インターネットに公開されたUnified CMシステムや、攻撃者がすでに初期アクセスを確立している内部ネットワーク環境では、危険性が一段と高まります。
この脆弱性は、WebDialerサービスが有効化されているCisco Unified CMおよびUnified CM SMEの環境に影響します。組織は、Cisco Unified CM管理インターフェースにログインし、Cisco Unified Serviceabilityに移動して、「Control Center – Feature Services」でCisco WebDialer Webサービスのステータスを確認することで、リスクの有無を判断できます。サービスが「Started(開始済み)」と表示されている場合、そのシステムは脆弱な状態にあります。
Ciscoはこの問題に対処するソフトウェアアップデートを公開しており、公式の回避策は提供されていません。パッチ適用までの一時的な緩和策として、管理者はWebDialerサービスを無効化することが推奨されています。
追加の防御策として、管理インターフェースへのアクセス制限や、Unified CMシステムから発信される不審なHTTPリクエストのネットワークトラフィック監視が挙げられます。
現時点では具体的な侵害の痕跡(IoC)は公開されていませんが、防御担当者は異常な外部への通信、不正なファイル作成、権限昇格の兆候に注意を払う必要があります。PoCエクスプロイトが公開され、rootレベルのアクセスが可能になるリスクを踏まえ、各組織はこの脆弱性を優先度の高いリスクとして扱い、悪用を防ぐために直ちにパッチを適用することが求められます。
翻訳元: https://gbhackers.com/poc-exploit-released-for-cisco/
