TokyoBlackHatNews

darkreading.com 4分で読了

Cisco UCの悪用されたゼロデイ欠陥、数百万人に影響の可能性

3分で読めます

フランスにあるCiscoの建物の外観

出典:Alamy Stock Photo(HJBC)

Ciscoの統合コミュニケーション製品群の一部に影響するゼロデイ脆弱性が脅威アクターに悪用されているが、その活動の詳細は不明だ。

Ciscoは水曜日、Cisco Unified Communications Manager(UCM)および他の製品に存在するリモートコード実行(RCE)脆弱性CVE-2026-20045を公表し、修正した。UCMはIPベースの音声、ビデオ、会議、コラボレーションを企業向けに提供しており、ユーザー数は3,000万人に上るため、潜在的な影響は甚大になり得る。

Ciscoのアドバイザリによると、この欠陥はHTTPリクエストにおけるユーザー提供入力の不適切な検証に起因する。「攻撃者は、影響を受けるデバイスのWebベース管理インターフェースに対して、細工したHTTPリクエストを連続して送信することでこの脆弱性を悪用できる」と、同アドバイザリは述べている。「悪用に成功すると、攻撃者は基盤となるオペレーティングシステムへのユーザーレベルのアクセスを取得し、その後、権限をrootに昇格できる可能性がある。」

この脆弱性は深刻度の高いCVSSスコア8.2を受けたが、Ciscoは、攻撃者がroot権限を獲得して標的システムを完全に制御できる可能性があることから、CVE-2026-20045に独自のSecurity Impact Rating(SIR)で「クリティカル」を割り当てたと述べた。

このゼロデイ脆弱性は、Cisco Unified Communications Manager Session Management Edition(UCM SME)、Unified Communications Manager IM & Presence Service(UCM IM&P)、Unity Connection、Webex Calling Dedicated Instanceにも影響する。ネットワーキング大手のCiscoは、このRCE欠陥の発見者として匿名の「外部研究者」に謝意を示した。

Ciscoのゼロデイが攻撃下に、しかしどこから?

Ciscoはアドバイザリで、同社のProduct Security Incident Response Team(PSIRT)が「実環境でこの脆弱性の悪用が試みられていることを把握している」と述べ、顧客に対し修正済みバージョンへの更新を強く促した。

米国のCybersecurity and Infrastructure Security Agency(CISA)も水曜日、CVE-2026-20045をKnown Exploited Vulnerabilities(KEV)カタログに追加した。KEVの掲載情報では、この脆弱性がランサムウェア攻撃で悪用されたかどうかは不明だとしている。

Dark Readingはコメントを求めてCiscoに連絡したが、締め切りまでに同社からの回答はなかった。

悪用活動の発信源は不明だが、脅威インテリジェンスベンダーのSOCRadarは木曜日のブログ投稿で、脆弱なインスタンスを対象とした大規模スキャンの可能性を示す兆候があると指摘した。

「公的な報告では特定の脅威グループに帰属されていないものの、観測された悪用の挙動は、攻撃者が公開されている、または十分に保護されていないUnified Communicationsの管理インターフェースをスキャンし、認証不要のHTTPアクセスを悪用して足掛かりを得ていることを示している」とSOCRadarの研究者は述べた。

同じく木曜日、Arctic Wolf Labsは、この脆弱性の性質と深刻度を踏まえると、このゼロデイ欠陥は攻撃者からさらに注目を集める可能性が高いと警告した。

「Arctic Wolfは公開されている概念実証(PoC)エクスプロイトを確認していないが、rootレベルのアクセスを達成した場合の影響が大きいため、脅威アクターはこの脆弱性を引き続き標的にする可能性が高い」とブログ投稿は述べた。「Cisco製品は歴史的に脅威アクターに人気の標的であり、そのことはCISAのKnown Exploited Vulnerabilitiesカタログにおける複数の過去エントリにも反映されている。」

実際、近年Ciscoの脆弱性はさまざまな脅威アクターにより集中的に狙われており、特に中華人民共和国(PRC)に関連する国家支援型の攻撃者が顕著だ。9月には、Ciscoは「ArcaneDoor」として知られる継続中の国家支援型サイバー諜報キャンペーンで使用されていた複数のゼロデイ脆弱性を公表し、修正した。

さらに最近では、Ciscoは12月に、中国関連の脅威グループUAT-9686が、Cisco Secure Email GatewayおよびSecure Email and Web Managerに影響するゼロデイ欠陥を悪用していたことを明らかにした。この重大な脆弱性はCVE-2025-20393として追跡され、CVSSの最大スコア10を受け、先週修正された。

翻訳元: https://www.darkreading.com/endpoint-security/exploited-zero-day-flaw-cisco-uc-affect-millions

ソース: darkreading.com
#CISA KEVカタログ #Cisco #Cisco Unified Communications Manager(UCM) #CVE-2026-20045 #root権限奪取 #セキュリティパッチ/アップデート #ゼロデイ脆弱性 #リモートコード実行(RCE) #実環境での悪用(in the wild) #脅威アクターのスキャン活動

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開