Ciscoは、攻撃者がルート権限を取得できる重大な脆弱性に対処するため、Unified Communications Manager(Unified CM)のセキュリティアップデートをリリースしました。
Cisco Unified CM(旧称:Cisco CallManager)は、CiscoのIPテレフォニーシステムの中核を担う制御システムであり、デバイス管理、通話ルーティング、テレフォニー機能を一括して管理します。
この脆弱性(CVE-2026-20230として追跡)は、権限を持たない攻撃者がリモートから、複雑な操作を必要としないサーバーサイドリクエストフォージェリ(SSRF)攻撃によって悪用できます。
「攻撃者は細工したHTTPリクエストを対象デバイスに送信することでこの脆弱性を悪用できます。悪用に成功した場合、攻撃者は基盤となるオペレーティングシステムにファイルを書き込み、その後ルートへの権限昇格に利用することが可能です」とCiscoは説明しています。
「スコアは『High(高)』を示していますが、Ciscoはこのセキュリティアドバイザリのセキュリティ影響評価(SIR)を『Critical(重大)』と評価しました。その理由は、この脆弱性が悪用された場合、攻撃者がルートへの権限昇格を実現できる可能性があるためです。」
CiscoのProduct Security Incident Response Team(PSIRT)は、CVE-2026-20230に関する概念実証(PoC)エクスプロイトコードが公開されていることを把握していますが、現時点では実際の悪用や標的型攻撃の証拠は確認されていないとしています。
幸いなことに、この脆弱性はWebDialerサービスが有効になっているシステムのみに影響し、WebDialerはデフォルトで無効となっています。
WebDialerが有効かどうかを確認するには、Cisco Unified CM管理画面にログインし、「Cisco Unified Serviceability」に移動して「Go」をクリックし、「Tools」→「CTI Services」メニューの「Control Center – Feature Services」でサービスの状態を確認してください。
この脆弱性を緩和するワークアラウンドは存在しないため、Cisco Unified CMバージョン 14SU6 または 15SU5(2026年9月またはCOP)へのアップデートが強く推奨されます。パッチ適用までの間は、CVE-2026-20230への攻撃をブロックするためにWebDialerサービスを無効化することも可能です。
WebDialerを無効化するには、以下の手順を実行してください。
- Cisco Unified CM管理インターフェースにログインします。
- 「Navigation」メニューから「Cisco Unified Serviceability」を選択し、「Go」をクリックします。
- 「Tools」メニューから「Service Activation」を選択します。
- ページ内の「CTI Services」セクションで「Cisco WebDialer Web Service」のチェックボックスを外し、「Save」をクリックします。
今年1月、Ciscoはリモートコード実行攻撃においてゼロデイとして積極的に悪用されていた別のUnified CMの重大な脆弱性(CVE-2026-20045)を修正しました。
また過去数年にわたり、同社はリモート攻撃者がパッチ未適用のデバイスにルート権限でログインできるUnified CMのバックドアアカウントを削除しており、脅威アクターが脆弱なシステムへのルートアクセス取得を可能にする別の脆弱性(CVE-2024-20253)についても修正対応を行っています。
過去5年間で、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)はCiscoの脆弱性91件を実際に悪用されたものとしてカタログに掲載しており、そのうち6件は各種ランサムウェアオペレーションに利用されています。
攻撃者より先にすべての防御層をテストする
セキュリティチームが検知に成功する攻撃は全体の54%に過ぎず、アラートが発報されるのはわずか14%です。残りは環境内を検知されることなく移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を活用してSIEMおよびEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を解説しています。
