CISAは、Cisco Unified Communications Manager(Unified CM)に存在する重大なゼロデイのリモートコード実行(RCE)脆弱性であるCVE-2026-20045を、既知の悪用されている脆弱性(KEV)カタログに追加しました。
2026年1月21日に追加されたこの欠陥は、Unified CM、Unified CM Session Management Edition(SME)、Unified CM IM & Presence Service、Cisco Unity Connection、Cisco Webex Calling Dedicated Instanceなど、複数のCisco Unified Communications製品に影響します。
攻撃者はこれをコードインジェクションに悪用し、基盤となるOSへのユーザーレベルのアクセスを獲得したうえで、root権限へ昇格します。
この脆弱性は不適切な入力処理に起因し、CWE-94(コードインジェクション)に関連付けられています。公開報告により、実環境での悪用が進行中であることが確認されており、CISAの緊急指令につながりました。
組織は、2026年2月11日の期限までにパッチを適用するか、Ciscoのアドバイザリに従って緩和策を適用する必要があります。対応しない場合、エンタープライズの音声・コラボレーション環境においてシステム全体が侵害されるリスクがあります。
CVE-2026-20045は、影響を受けるサービスに対する細工されたリクエストを介して、リモート攻撃者が悪意のあるコードを注入できるようにします。
悪用に成功すると、低権限ユーザーとして初期侵入の足掛かりを得た後、rootへ権限昇格します。これにより、永続化、データ流出、ラテラルムーブメント、またはネットワーク全体へのランサムウェア展開が可能になります。
Ciscoは本件を高深刻度と評価していますが、初期の開示ではCVSSスコアは示されていません。脆弱なバージョンは最近のUnified CMリリースにまたがるため、正確な範囲はCiscoのセキュリティアドバイザリで確認してください。
悪用は、認証なしで公開されている管理インターフェースやAPIエンドポイントを標的としている可能性があります。
防御側が直ちに取るべき対応:
- 修正済みバージョンへアップグレード: Unified CM 14SU3.10000-5、15SU5.10000-32、またはそれ以降。
- 回避策を適用: ACLで信頼できるIPからのアクセスに制限する。不要であればIM&Pなど未使用サービスを無効化する。
- ログを監視して異常を検知: 不審なAPI呼び出し、予期しないプロセス生成(例: Webサービスからのシェル起動)。
- クラウドインスタンスについてはBOD 22-01に従う。パッチ適用不能なEoL製品は廃止する。
現時点では、具体的な侵害指標(IOC)は公に詳細化されていません。CISAは、ランサムウェアとの関連について悪用状況を「不明」としています。ただし、以下の潜在的な兆候をスキャンしてください:
| IOC種別 | 説明 | 例のハッシュ/値 |
|---|---|---|
| ファイル | インジェクション由来の不審なバイナリ | N/A(/opt/cisco/ の異常を監視) |
| ネットワーク | 管理ポートへの異常なトラフィック | 信頼できない送信元からのTCP/8443、443 |
| プロセス | インジェクション後のroot権限への昇格 | ps aux | grep 予期しないシェル |
| ログ | コードインジェクションの試行 | /var/log/platform/log/app/logs/* のエラー |
この追加により、CISAのKEVは1,489件となり、優先対応の重要性が強調されています。
Unified CMは数千の企業のVoIPを支えており、国家主体やサイバー犯罪者にとって格好の標的となります。
CVE-2020-2021のような過去のCiscoの欠陥でも、同様のRCEチェーンが侵害につながりました。
Ciscoは、サポート対象ブランチ向けのホットフィックスを提供し、即時のパッチ適用を強く推奨しています。エアギャップ環境のシステムについては、SFTPによる手動更新が可能です。
翻訳元: https://gbhackers.com/cisco-cm-zero-day-rce-exploited/
