Ciscoは、複数のUnified Communications製品に影響する、現在悪用が確認されているゼロデイ脆弱性について、重大なセキュリティアドバイザリを発行しました。
CVE-2026-20045として追跡されているこの欠陥により、未認証の攻撃者が任意のコマンドを実行し、脆弱なシステムでrootレベルのアクセスを取得できます。
このリモートコード実行(RCE)脆弱性は、CiscoのWebベース管理インターフェースにおけるHTTPリクエスト検証メカニズムに存在します。
攻撃者は、細工したHTTPリクエストを送信することでこの弱点を悪用し、基盤となるオペレーティングシステム上で任意のコマンド実行を引き起こすことができます。
初期アクセスを得た後、攻撃者は権限をrootレベルまで昇格させ、結果としてシステムを完全に制御できます。
CiscoはCVSS基本スコアを8.2とし、rootアクセスへの権限昇格の可能性があることから、同社のSecurity Impact Ratingシステムにおいて本脆弱性をCriticalに分類しました。
この欠陥は不適切な入力検証に起因し、CWE-94(コードインジェクション)に分類されます。
5つのエンタープライズ向けコミュニケーションプラットフォームが悪用の影響を受けます:
本脆弱性は、これらの製品にまたがる複数のソフトウェアリリースに影響し、バージョン12.5では利用可能なパッチがありません。
これらのシステムを運用している組織は、修復措置が実施されるまで重大なリスクにさらされたままです。
Cisco PSIRTは、実環境での悪用の試みが活発に行われていることを確認しました。この開示により、脅威アクターが本脆弱性を本番システムに対して積極的に悪用しているため、企業のセキュリティチームにとって緊急性が高まっています。
公開されたエクスプロイトコードは不要で、攻撃者は認証なしで悪意のあるHTTPシーケンスを作成できます。
Ciscoは、影響を受ける組織向けに2つの緩和策を提示しています。推奨される修正済みソフトウェアリリースには、Unified CMのバージョン14SU5およびバージョン15SU4(2026年3月予定)が含まれます。
即時のパッチ適用が必要なシステム向けに、Ciscoはバージョン別のパッチファイルを提供しています:
Unity Connectionの顧客は、各ソフトウェアバージョンに対応するCSCwr29208パッチを適用できます。バージョン12.5を運用している組織にはパッチの選択肢がなく、サポート対象のリリースへ全面的に移行する必要があります。
注目すべき点として、Ciscoはこの脆弱性に対処する回避策は存在しないと述べており、即時のパッチ適用が唯一実行可能な修復戦略となります。
この脆弱性は、企業のコミュニケーション基盤に深刻なリスクをもたらします。攻撃者がrootアクセスを取得すると、通信の傍受、通話ルーティングの改ざん、永続的なバックドアの展開、接続されたシステムの侵害が可能になります。
事業継続のためにUnified Communicationsに依存している組織にとって、これは緊急の対応を要する重大な脅威です。
セキュリティチームは直ちにUnified Communicationsの導入状況を棚卸しし、影響を受けるバージョンのパッチ適用を優先すべきです。
直ちにパッチを適用できない組織は、管理インターフェースへのアクセスを制限するためのネットワークセグメンテーションを検討し、これらのシステムを標的とする不審なHTTPリクエストに対する監視を強化すべきです。
CiscoのCSAF ドキュメントには追加の技術的詳細が記載されており、自動化された脆弱性管理システムとの統合に利用できます。
翻訳元: https://cyberpress.org/cisco-unified-communications-0-day-actively/