シスコは水曜日、脅威アクターに狙われている別のゼロデイ脆弱性に対するパッチを発表した。
この欠陥はCVE-2026-20045として追跡され、重大(critical)に分類されている。Cisco Unified Communications Manager(CM)およびその Session Management Edition(SME)、Unified CM IM & Presence Service、Unity Connection、Webex Calling Dedicated Instance など、複数のシスコ統合コミュニケーション製品に影響する。
シスコによると、リモートの未認証攻撃者はCVE-2026-20045を悪用し、デバイスの基盤となるOS上で悪意のあるコマンドを実行できる。
ベンダーに匿名の外部研究者から報告されたこのゼロデイは、標的インスタンスのWebベース管理インターフェースに対して特別に細工したHTTPリクエストを送信することで悪用可能だ。
「悪用に成功すると、攻撃者は基盤となるオペレーティングシステムにユーザーレベルでアクセスし、その後rootへ権限を昇格できる可能性がある」とシスコは説明した。
CVE-2026-20045を狙った攻撃に関する公開情報は現時点ではないようだ。シスコはアドバイザリで、「この脆弱性が実環境で悪用されようとしていることを把握している」と述べた。
サイバーセキュリティに特化したインターネット検索エンジンHunterは現在、Cisco Unified CMのインターネットに露出したインスタンスが約1,300件あることを示しており、そのうちほぼ半数が米国にある。
サイバーセキュリティ機関CISAはCVE-2026-20045を既知の悪用されている脆弱性(KEV)カタログに追加し、連邦機関に対して2月11日までに対処するよう指示した。
CISAのKEVカタログには現在、過去10年間に実環境で悪用されたシスコ製品の脆弱性が約80件含まれている。過去1年で、シスコの欠陥8件が同機関の「必須パッチ」リストに追加された。
その中で比較的最近のものの一つがCVE-2025-20393で、中国関連のAPTによる攻撃で悪用されているSecure Email Gatewayの問題だ。ネットワーク大手のシスコは、このゼロデイが公に開示されてからパッチをリリースするまでに数週間を要した。
翻訳元: https://www.securityweek.com/hackers-targeting-cisco-unified-cm-zero-day/
