このRCEの欠陥により、リモート攻撃者はユーザー操作なしで影響を受けるシステム上でroot権限を取得できる。Ciscoは複数のバージョン別パッチファイルを公開したが、CISAがこのバグが企業ネットワークに重大なリスクをもたらすと警告する中、12.5向けの修正は提供していない。
Ciscoは、攻撃者が積極的に悪用している同社のユニファイドコミュニケーション製品における重大なリモートコード実行の脆弱性に対するパッチを公開した。米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)はこの欠陥を「既知の悪用済み脆弱性(KEV)」カタログに追加し、悪用が確認された。
Ciscoは、Unified Communications Manager、Unity Connection、Webex Calling Dedicated Instance向けのパッチとともにCVE-2026-20045を公開した。同社はCVSSスコアが8.2であるにもかかわらず、この脆弱性に「Critical(重大)」の深刻度評価を付与した。
「Ciscoは、このセキュリティアドバイザリに対し、スコアが示すHighではなくCriticalのセキュリティ影響度評価(SIR)を割り当てた」と、同社はアドバイザリで述べている。「理由は、この脆弱性が悪用されると、攻撃者が権限をrootまで昇格できる可能性があるためだ。」
CISAがこの脆弱性をKEVカタログに追加したことは、攻撃者が実際に悪用していることを裏付ける。「この種の脆弱性は悪意あるサイバーアクターにとって頻繁に用いられる攻撃ベクトルであり、連邦政府のエンタープライズに重大なリスクをもたらす」と、CISAは警告で述べた。
これは、CISAがここ数週間でKEVカタログに追加した、悪用が進行中のCisco脆弱性として2件目となる。先週、同庁はCiscoのAsyncOSソフトウェアに影響するCVE-2025-20393を追加した。
「Contact Center Enterprise、Emergency Responder、Finesse、Unified Intelligence Center、Unified Contact Center Expressを含む他のコラボレーション製品は、CVE-2026-20045の影響を受けない」と、アドバイザリは付け加えた。
ユーザー操作なしでrootレベルの侵害
この脆弱性は、HTTPリクエストにおけるユーザー提供入力の検証不備に起因する。「攻撃者は、影響を受けるデバイスのWebベース管理インターフェースに対して、細工したHTTPリクエストを一連送信することでこの脆弱性を悪用できる」と、Ciscoはアドバイザリで説明した。「悪用に成功すると、攻撃者は基盤となるオペレーティングシステムへのユーザーレベルのアクセスを取得し、その後権限をrootに昇格できる可能性がある。」
この攻撃はユーザー操作を必要とせず、認証されていないリモート攻撃者によって実行可能であるため、インターネットに公開されたユニファイドコミュニケーション環境では特に危険だと、アドバイザリは付け加えた。
Ciscoの製品セキュリティ・インシデント対応チーム(PSIRT)も、「この脆弱性の悪用の試みが実環境で行われていることを把握している」と付け加え、パッチ適用の緊急性を強調した。
回避策は利用不可
Ciscoはアドバイザリで、CVE-2026-20045に対する回避策や緩和策は利用できないことを確認した。同社は製品バージョンごとに固有の修正を公開している。
バージョン14を実行しているUnified Communications Manager、IM&P、SME、およびWebex Calling Dedicated Instanceについて、同社は管理者に対し、14SU5へアップグレードするか、バージョン別のパッチファイルを適用できると提案した。バージョン15を運用している組織は、15SU2および15SU3a向けのバージョン別パッチを適用でき、バージョン15SU4の正式リリースは2026年3月に予定されていると、同社は付け加えた。
Unity Connectionの管理者も同様の選択肢があり、14SU4および15SU3リリース向けのバージョン別パッチファイルが利用可能だ。
依然としてバージョン12.5を運用している組織は、より難しい判断を迫られる。Ciscoはこのバージョン向けのパッチを公開せず、サポート対象リリースへの移行を推奨している。
「お客様には、この脆弱性の修正を含むサポート対象リリースへ移行することを推奨する」と、Ciscoはアドバイザリで述べた。パッチはバージョン別であり、管理者は展開の詳細について各パッチに添付されたREADMEファイルを参照すべきだと、アドバイザリは付け加えた。
連邦機関には期限がある
CISAがCVE-2026-20045をKEVカタログに掲載したことで、拘束力のある運用指令(BOD)22-01の下、連邦行政部門(FCEB)機関に対して必須の是正期限が発動される。連邦機関は、1月21日のカタログ追加から2週間以内にこの脆弱性へパッチを適用しなければならない。
BOD 22-01は連邦機関に特化して適用される一方で、CISAはすべての組織に対し、KEV掲載の脆弱性を高優先度のパッチ適用対象として扱うことを「強く推奨」している。同カタログは、能動的な悪用が確認された欠陥を追跡しており、より広範な標的に対して武器化される可能性が大幅に高い。
パッチ適用方法
Ciscoは、緩和策を適用した後、インターネットからアクセス可能なすべてのインスタンスで侵害の兆候がないか確認すべきだと述べた。同社は管理者に対し、過去の悪用を示す可能性のある不正な変更や不審な活動がないか、システムログと設定を確認するよう助言した。
直ちに修正版リリースへアップグレードできない組織に対しては、バージョン別パッチファイルが暫定的な是正手段となると同社は述べた。ただしCiscoは、パッチはデバイス上で稼働している正確なソフトウェアバージョンと一致していなければならず、展開前に互換性を確認すべきだと指摘した。
