米サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、Cisco Unified Communications Managerに影響する重大なリモートコード実行(RCE)脆弱性を、既知の悪用されている脆弱性(Known Exploited Vulnerabilities)カタログに追加しました。
CVE-2026-20045として追跡されているこの欠陥により、攻撃者は影響を受けるシステム上で任意のコードを実行し、権限をrootレベルまで昇格できるため、企業の通信インフラに深刻なリスクをもたらします。
この脆弱性は、複数のCisco通信製品における不適切なコードインジェクション検証に起因します。
攻撃者はこの弱点を悪用して、まず基盤となるオペレーティングシステムへのユーザーレベルの初期アクセスを獲得し、その後、横方向に権限を昇格させて管理者権限を掌握することで、システム全体の侵害に至るシナリオを作り出すことができます。
このコードインジェクション脆弱性は、複数のCisco Unified Communications製品に影響します:
社内コミュニケーション、ボイスメール、インスタントメッセージング、またはクラウドベースの通話サービスにこれらのプラットフォームのいずれかを利用している組織は、直ちに導入状況を評価し、緩和策を実施すべきです。
この脆弱性はCWE-94(コードインジェクション)に分類されており、不十分な入力検証により攻撃者がアプリケーションのコンテキスト内に悪意のあるコードを注入し、実行できることを示しています。
この弱点を悪用することで、脅威アクターはセキュリティ制御を回避し、正当な資格情報や認証回避手法を必要とせずに、システムレベルの機能へ直接アクセスできます。
パッチが利用可能になる前に広範な悪用が起きるのを防ぐため、正確な攻撃ベクトルは公表されていません。
しかし、CISAが既知の悪用されている脆弱性リストに追加したことは、実環境での能動的な悪用を裏付けており、攻撃者が現実の攻撃シナリオでこの弱点を積極的に利用していることを示しています。
この21日間の猶予期間は、連邦機関が拘束力のある運用指令の下で当該脆弱性に対処することを求められる前に、組織がパッチを展開するか代替的な統制(補完的コントロール)を実装するための限られた時間を提供します。
組織は直ちに、次の3つの修復アプローチのいずれかを実施すべきです:
現時点では、この脆弱性がランサムウェア・キャンペーンに関連付けられた事例は確認されていませんが、RCEと権限昇格の能力により、データ窃取、横展開、永続化メカニズムを含む、より広範な攻撃シナリオにとって魅力的です。
CVE-2026-20045の悪用は、企業の通信インフラに対する重大なリスクを意味します。
組織はパッチ適用を最優先し、統合コミュニケーション環境への不正アクセスを防ぐために、直ちに緩和策を実施しなければなりません。2月11日の期限までにこの脆弱性へ対処しない場合、システムは能動的な悪用にさらされます。
翻訳元: https://cyberpress.org/cisa-warns-of-actively-exploited-cisco-unified-cm-zero-day-rce-vulnerability/