Ciscoはついに、同社のUnified Communications機器に存在する重大評価のゼロデイに対する修正を提供した。この欠陥はすでに実環境で武器化されており、CISAも以前に緊急優先事項として警告していた。
このバグは、CVE-2026-20045として追跡されているもので、Cisco Unified Communications Manager(Unified CM)、Session Management Edition(SME)、IM & Presence Service(IM&P)、Cisco Unity Connection、Webex Calling Dedicated Instanceの各プラットフォームのWeb管理インターフェースに潜んでいる。認証なしのリモート攻撃者が基盤となるOS上で任意のコードを実行でき、場合によってはroot権限へ昇格する可能性がある。
CiscoのProduct Security Incident Response Teamは、CVSS基本スコアが「High」帯にあるにもかかわらず、悪用に成功するとシステム全体の侵害につながり得るとして、深刻度を「Critical」と評価した。
このネットワーキング大手は、「当該脆弱性の実環境での悪用の試みを把握している」と述べ、顧客に対して直ちに修正を適用するよう促した。
Ciscoは、影響を受ける顧客数、影響環境からデータが持ち出されたかどうか、あるいはこれらの悪用の試みの背後に誰がいるのかを明らかにしていない。同社はThe Registerからの質問に直ちには回答しなかった。
問題は管理インターフェースのHTTP処理にあり、ログインなしでトリガーできる。「この脆弱性は、HTTPリクエストにおけるユーザー提供入力の検証が不適切であることに起因する」とCiscoはアドバイザリで説明している。「攻撃者は、影響を受けるデバイスのWebベース管理インターフェースに対して、細工したHTTPリクエストのシーケンスを送信することで、この脆弱性を悪用できる。
これらのインターフェースは社内ネットワークやVPN越しに到達可能であることが多いため、攻撃者が目を付けた理由は想像に難くない。
この修正は、Ciscoがつい数日前に、Secure Email GatewayおよびSecure Email and Web Manager製品における別の重大なリモートコード実行バグ(CVE-2025-20393)に対して別の一連のパッチを展開せざるを得なかったことに続くもので、Switchzillaの自社コードにとって年初から厳しい滑り出しであることを浮き彫りにしている。
CISAはこの欠陥をKnown Exploited Vulnerabilities(既知の悪用されている脆弱性)リストに追加した。これは、連邦政府機関にはパッチ適用の期限が課され、その他の組織も待つ言い訳がほとんどないことを意味する。
Ciscoは回避策を提示していないため、影響を受けるソフトウェアを運用している場合、基本的にはパッチを当てて、誰かに先を越されないことを祈るしかない。
音声インフラを退屈な配管仕事だとまだ考えている人にとって、攻撃者は決してそう見なしていないという、また一つの警鐘だ。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/22/another_week_another_emergency_patch/
