ハッカーがCiscoのネットワーク機器に存在するゼロデイ脆弱性を発見した。この欠陥は同社のUnified Communications製品すべてに影響し、リモートコード実行を可能にして、システム全体の侵害リスクをもたらすとネットワーク大手のCiscoは警告している。
Ciscoは木曜日、緊急パッチでソフトウェアを更新しない限り、この欠陥に対処するための他の緩和策や回避策は存在しないと警告した。この欠陥はCVE-2026-20045として追跡されている。
「この脆弱性は、HTTPリクエストにおけるユーザー提供入力の不適切な検証に起因します。攻撃者は、影響を受けるデバイスのWebベース管理インターフェースに対して細工したHTTPリクエストのシーケンスを送信することで、この脆弱性を悪用できる可能性があります」と、アラートは述べている。
Ciscoは、ハッカーがこの脆弱性の悪用を試みたと述べた。
米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は水曜日、CVE-2026-20045を既知の悪用済み脆弱性カタログに追加し、連邦政府の民間機関に対し、2月11日までにこの欠陥のパッチ適用、緩和、または影響を受けるCisco Unified Communications機器の使用を一時停止するよう期限を設定した。
Cisco機器は、ゼロデイ欠陥、デバイスが何年もパッチ未適用のままであること、あるいは設定ミス状態に陥ることなどを理由に、数々の注目度の高いハッキングの中心となってきた。Salt Typhoonとして広く追跡されている中国の国家支援型脅威グループは、Ciscoルーターを悪用して米国の通信事業者に侵入したが、同社のサイバーセキュリティ部門は、同キャンペーンで中国のハッカーがゼロデイを使用したようには見えず、代わりに盗まれたログイン認証情報、Living-off-the-Land手法、侵入したネットワーク内での水平移動を容易にするカスタムユーティリティに依存していたと強調している。
同社は昨年末、機器を安全でない形で設定している顧客に対して事前に警告し、安全な設定をデフォルトにすることで、サイバーセキュリティを改善すると約束した(参照: Cisco、ネットワーク機器のセキュリティ強化を約束)。
最新の欠陥を誰が悪用しているのかは明らかではない。「観測された悪用の挙動は、攻撃者が公開されている、または十分に保護されていないUnified Communicationsの管理インターフェースをスキャンし、認証なしのHTTPアクセスを悪用して足掛かりを得ていることを示している」と、サイバーセキュリティ企業SOCRadarは述べた。
CiscoはCVE-2026-20045に対してCVSSスコア8.2という高い評価を付与した一方で、この脆弱性を重大な影響度(critical impact)として分類している。というのも、欠陥を悪用することで攻撃者はまず基盤となるOSへのユーザーレベルのアクセスを取得し、その後権限をrootへ昇格させ、システムの完全な侵害と乗っ取りを可能にし得るためだ。
この脆弱性は次の5製品に存在する: Unified CM、Unified CM Manager Session Management Edition、Unified CM Manager IM & Presence Service、Unity Connection、WebEx Calling Dedicated Instance。
Ciscoは、影響を受ける各製品のバージョン14および15向けに個別のパッチをリリースした。製品の12.5系バージョンについては修正は提供されず、Ciscoは顧客に対し「修正済みリリースへ移行する必要がある」と伝えている。
Ciscoによれば、他のさまざまなコミュニケーション製品もテストされており、脆弱性は存在しないという。これには、Contact Center SIP Proxy、Customer Collaboration Platform、Emergency Responder、Finesse、Packaged Contact Center Enterprise、Prime Collaboration Deployment Unified Contact Center(Enterprise版およびExpress版の両方)、Unified Intelligence Centerなどが含まれる。
ユニファイドコミュニケーションシステムが侵害されることで生じるリスクの一つは、攻撃者が音声、ビデオ、テキストを含む複数チャネルにわたって、従業員や顧客とのやり取りを盗み見できることだ。「侵害に成功すると、サービス妨害、社内システムへの不正アクセス、データ露出、または永続的バックドアの展開につながり得る」とSOCRadarは述べた。
Ciscoのユニファイドコミュニケーションおよびコラボレーション製品は、市場のほぼ半分を握る最大手Microsoftと競合しており、ZoomとCiscoがそれに遠く続く。市場調査会社IDCは、AI機能の台頭にも後押しされ、ユニファイドコミュニケーション市場が2028年までに850億ドル規模になると予測している。
今回のCiscoの新たなゼロデイ欠陥は、広く利用されるツールで発見されてパッチが提供され、すでに攻撃者の標的となっている重大脆弱性の最新例にすぎない。
Ciscoはわずか数週間前、Identity Services EngineおよびISE Passive Identity Connectorのアクセス制御プラットフォームツールで新たに見つかった脆弱性の修正を公開した。この欠陥はCVE-2026-20029として追跡されており、「管理者権限を持つ認証済みのリモート攻撃者が機密情報にアクセスできる可能性がある」と、Ciscoは1月7日のセキュリティアラートで警告した。
この欠陥の概念実証(PoC)エクスプロイトコードは公開されている(参照: 2026年も休む間もなく、Cisco・HPE・n8n向けパッチ警告が相次ぐ)。
翻訳元: https://www.databreachtoday.com/zero-day-flaw-in-cisco-unified-communications-being-targeted-a-30582
