新年、新たな脆弱性。悪用可能な欠陥が次々と表面化し、システム管理者が緊急のセキュリティ修正と勧告を求めて奔走する事態になるまで、そう時間はかからなかった。
2026年はまだ10日も経っていないが、Ciscoは次世代セキュリティプラットフォームで悪用され、機密データを盗み出され得るゼロデイ欠陥を修正するソフトウェア更新を公開した。
別件として、サイバーセキュリティ当局は、攻撃者がHewlett Packard Enterpriseの広く利用されているITインフラ管理ソフトウェアOneViewの欠陥を積極的に悪用し、リモートでコードを実行してソフトウェアを侵害していると警告した。
AI対応で人気の自動化ソフトウェアn8nの深刻な欠陥に対するパッチが公開されたのに続き、セキュリティ専門家は、2種類の「Ni8mare」概念実証(PoC)エクスプロイトが出現したと警告した。これは、オープンソースソフトウェアがインストールされている10万台のサーバーに対する大規模なハッキング攻撃の前兆である可能性が高い。
CiscoがISEをパッチ
Ciscoは水曜日、ネットワークアクセス制御プラットフォームで新たに修正された欠陥に関するアラートを公開した。
「Cisco Identity Services Engine(ISE)およびCisco ISE Passive Identity Connector(ISE-PIC)のライセンス機能に存在する脆弱性により、管理者権限を持つ認証済みのリモート攻撃者が機密情報へアクセスできる可能性がある」と、セキュリティ勧告は述べている。
CVE-2026-20029として追跡されているこの脆弱性は、「Cisco ISEおよびCisco ISE-PICのWebベース管理インターフェースで処理されるXMLの不適切な解析」に起因し、勧告によれば「アプリケーションに悪意のあるファイルをアップロードする」ことで悪用可能だという。
同社は、この脆弱性は2025年9月にリリースされたISEバージョン3.5には存在しない一方、設定に関係なく、それ以前のISEおよびISE-PICのすべてのリリースに存在すると述べた。
「悪用に成功すると、攻撃者は基盤となるオペレーティングシステムから任意のファイルを読み取れる可能性があり、そこには本来、管理者であってもアクセスできないはずの機密データが含まれる場合がある」と同社は述べた。
この脆弱性には10点満点中4.9の「中」CVSSスコアが付与されており、欠陥を悪用するには攻撃者が管理者レベルの権限を保有している必要があることを反映している。
この欠陥は、攻撃者が管理者資格情報を盗み取った場合や、悪意ある内部関係者によって悪用され得る。プラットフォームが本来保護すべき対象を踏まえると、組織にとってセキュリティリスクが高まる。「Cisco Identity Services Engineは、信頼できるユーザーとデバイスのみがネットワーク上のリソースへアクセスできるようにするネットワークセキュリティシステム」であり、「エンドポイントのアクセス制御とネットワーク機器の管理」の双方に紐づくポリシーを強制する、とサイバーセキュリティ企業Qualysは述べた。
現時点で実環境での能動的な悪用は報告されていないが、Ciscoの製品セキュリティ・インシデント対応チームは、「本勧告で説明した脆弱性について、概念実証エクスプロイトコードが入手可能であることを認識している」と述べた。
同社の水曜日のセキュリティ更新には、ISEおよびISE-PICのリリース3.2、3.3、3.4向けのパッチが含まれる。2025年9月にリリースされた最新バージョン3.5は影響を受けない。同社は、3.2より前のバージョンは脆弱でありパッチ提供は行わないとしており、これらのバージョンを使用している顧客は「修正済みリリースへ移行」する必要がある。
同社は、修正済みバージョンをインストールする以外に、この欠陥に対する回避策や緩和策は存在しないと述べた。
Ciscoの広く利用されているネットワークアクセス制御製品は、物理アプライアンスと仮想アプライアンスの両方で提供され、VMware ESXi、Red Hat上のKVM、Microsoft Hyper-V、Amazon Web Services、Azure Web Services、Red Hat OpenShift、Nutanix AHV、VMware Cloudなど、多数のオンプレミスおよびクラウドプラットフォームで動作する。
CiscoのISEプラットフォームは攻撃者にとって繰り返し標的となってきた。サイバー犯罪集団や国家支援グループは、被害者環境への初期侵入を得るために、エッジインフラの悪用に引き続き注力している。
HPE OneViewが積極的に悪用されている
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は水曜日、HPE OneViewの脆弱性が攻撃者により積極的に悪用されていると警告した。CVE-2025-37164として追跡されているこの脆弱性は、CVSSの深刻度評価が最大の10で、バージョン11.00以前のすべてのソフトウェアに存在する。
「この脆弱性は悪用される可能性があり、認証されていないリモートユーザーがリモートコード実行を行えるようになる」と、HPEのセキュリティ勧告は警告している。
HPEは2025年12月17日にこの欠陥を修正し、翌日に更新されたセキュリティホットフィックスを公開した。これらの修正は、HPE OneViewのバージョン5.20から10.20までのすべてのバージョンで利用可能だ。
CISAは水曜日、この欠陥を既知の悪用済み脆弱性(Known Exploited Vulnerabilities)のカタログに追加し、連邦政府の民間機関に対して、1月28日までに欠陥のパッチ適用、緩和策の適用、または影響を受けるソフトウェアの使用を一時的に中止する期限を設定した。
n8nのエクスプロイトコードが公開
AI機能を備えた「ローコード」のセルフホスト可能な自動化プラットフォームを作成するために用いられるオープンソースのn8nソフトウェアのユーザーは、深刻な脆弱性を修正する最新バージョンへアップグレードしていることを確認するよう促されている。
2025年11月9日に欠陥を発見し、n8nへ直接報告したセキュリティ企業Cyeraは、これを「Ni8mare」と名付けた。これは「攻撃者がローカルに展開されたインスタンスを乗っ取ることを可能にし、世界で推定10万台のサーバーに影響する」ためだという。
水曜日、n8nのチームはセキュリティアラートで述べたところによると、2025年11月18日にリリースされたソフトウェアの最新バージョン1.121.0には、攻撃者が事前の認証なしにファイルを取得できる重大な脆弱性の修正が含まれている。
この脆弱性はソフトウェアのそれ以前のすべてのバージョンに存在し、アラートは「システムに保存された機密情報の露出につながる可能性があり、展開構成やワークフローの使用状況によっては、さらなる侵害を可能にする恐れがある」と警告している。
CVE-2026-21858として追跡されているこの欠陥には、最大の「重大」CVSS評価である10が付与されている。
攻撃者はこれを悪用してリモートでコードを実行し、ローカルに展開されたインスタンスを制御できる。「この欠陥を悪用することで、攻撃者は内部JSONオブジェクトを上書きし、サーバーから任意のファイルを読み取れる。この能力は、管理者セッショントークンを偽造し、その後の認証済み脆弱性を悪用してコード実行に至るために利用され得る」と、サイバーセキュリティ企業Rapid7は述べた。
n8nチームは、パッチ適用以外に恒久的な代替回避策はないとしつつも、一時的な緩和策として「アップグレードするまで、公開アクセス可能なWebhookおよびフォームのエンドポイントを制限または無効化する」ことは可能だと述べた。
Cyeraは、「n8nはAIとAIエージェントの時代における自動化ワークフロー構築の定番プラットフォーム」であるため、この脆弱性がもたらすリスクは広範に及ぶと述べた。
「Dockerのプル数が1億回を超え、数百万人のユーザーと数千の企業が利用しているn8nは、自動化インフラの中枢神経系となっており、あなたの組織も利用している可能性が高い」と同社は述べた。
この脆弱性がもたらすリスクは、各組織がn8nの自動化ワークフローを、Google Drive、Salesforceの顧客データ、IDおよびアクセス管理システム、顧客データベース、コード開発パイプライン、OpenAIやその他クラウドベースサービスのAPIキーなどのエンタープライズソフトウェアにどの程度結び付けているかに左右される。
「従業員1万人超の大企業で、誰もが使うn8nサーバーが1台ある状況を想像してほしい。侵害されたn8nインスタンスは、単に1つのシステムを失うことを意味しない――攻撃者にすべての鍵を渡すことを意味する」として、潜在的に「単一障害点となり、脅威アクターにとっての金鉱」になり得ると述べた。
水曜日に公開された欠陥の完全な技術解説(概念実証エクスプロイトを含む)で、Cyeraはすべてのユーザーに最新バージョンへの更新を促した。また、ソフトウェアを可能な限りロックダウンした状態に保つこと、すなわち「絶対に必要でない限り」n8nをインターネットに公開しないこと、さらに「作成するすべてのフォームに認証を必須にする」ことも推奨している。
別途水曜日、サードパーティのセキュリティ研究者Valentin Lobsteinが、この脆弱性に対する概念実証エクスプロイトを公開した。Lobsteinのエクスプロイトは、CVE-2026-21858(別名Ni8mare)だけでなく、CVSS評価が10の別の、こちらもパッチ済みの欠陥(CVE-2025-68613として追跡)も標的にしている。この欠陥は「認証済みユーザーが、ワークフローパラメータ内の細工された式を通じて任意のシステムコマンドを実行できるようにする」とRapid7は述べた。
Rapid7によれば、最新リリース以前のn8nバージョンに存在する他の最近発見された脆弱性も、Ni8mare型攻撃を容易にするために標的にされたり、連鎖的に悪用されたりする可能性があるという。
翻訳元: https://www.databreachtoday.com/no-rest-in-2026-as-patch-alerts-amass-for-cisco-hpe-n8n-a-30482
