Ciscoは、6月上旬に修正パッチを公開したUnified Communications Manager(Unified CM)の脆弱性が、現在攻撃者によって悪用されていることを確認しました。
Unified CM(旧称Cisco CallManager)は、Cisco IPテレフォニーシステムの中枢制御システムであり、通話ルーティング、デバイス管理、テレフォニー機能を統括しています。
権限を持たない攻撃者は、細工したHTTPリクエストを送信することで、この脆弱性(CVE-2026-20230)をリモートから悪用し、複雑度の低いサーバーサイドリクエストフォージェリ(SSRF)攻撃を仕掛けることが可能です。
Ciscoは、この問題に対処するセキュリティパッチを公開した6月3日の時点で、製品セキュリティインシデント対応チーム(PSIRT)がCVE-2026-20230に関する概念実証(PoC)エクスプロイトコードが一般に公開されていることを把握していたものの、実際の悪用を示す証拠はないと述べていました。
しかし、それから約3週間後の6月22日、脅威インテリジェンス企業Defusedは、攻撃者が適切に構築されたfile://ペイロードを使って標的デバイス上にファイルを作成する形で、この脆弱性の悪用を開始していたことを明らかにしました。

その1日後、SSD Secureも技術解説記事を公開し、概念実証エクスプロイトを掲載するとともに、この脆弱性の仕組みを説明しました。
BleepingComputerは当時Ciscoに対し、同社も攻撃においてこの脆弱性の悪用を確認しているか、また防御側と侵害指標(IOC)を共有できるかを問い合わせましたが、現時点まで回答は得られていません。
同社は今週水曜日、攻撃者が現在CVE-2026-20230を悪用していることをついに確認し、顧客に対して進行中の悪用からシステムを保護するよう呼びかけました。
「Cisco PSIRTは、本アドバイザリに記載されている脆弱性について、概念実証エクスプロイトコードが公開されていることを把握しています」と、Ciscoは元のアドバイザリの更新内容の中で述べています。
「2026年6月、Cisco PSIRTはこの脆弱性が実際に悪用されていることを把握しました。Ciscoは引き続き、この脆弱性を修正するために、顧客が修正済みのソフトウェアリリースへアップグレードすることを強く推奨します」
Ciscoは、Cisco Unified CMバージョン14SU6または15SU5(2026年9月またはCOP)への即時アップグレードが困難な管理者・セキュリティチーム向けに緩和策も公開しており、パッチが適用されるまでの間、脆弱性のあるWebDialerサービスを無効化してCVE-2026-20230を狙う攻撃の侵入をブロックするよう勧告しています。
インターネットセキュリティ監視団体Shadowserverは現在、オンライン上に露出している200件超のCisco Unified CMインスタンスを追跡しており、その大半はアジアと北米に所在していますが、現在進行中のCVE-2026-20230攻撃に対してどの程度対策が講じられているかについての詳細は不明です。

近年、Ciscoはこのほかにも、攻撃者にroot権限の取得を許してしまう2件のUnified CM脆弱性(CVE-2024-20253およびCVE-2025-20309)を修正しており、リモートコード実行を狙うゼロデイ攻撃として実際に悪用されていた別のUnified CM脆弱性(CVE-2026-20045)も修正しています。
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2021年11月以降、実際に悪用されたCiscoの脆弱性として93件を登録しており、そのうち6件はランサムウェア攻撃に悪用されています。
攻撃者に先んじて、すべてのレイヤーをテストする
セキュリティチームが記録できている攻撃成功事例はわずか54%、実際にアラートを発しているのは14%に過ぎません。残りは環境内を検知されずに通過しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を用いてSIEMおよびEDRのルールをテストし、検知をすり抜ける脅威を防ぐ方法を紹介しています。