同社は、事前の認証を必要とせずにサーバー制御を遠隔から奪取できるゼロデイ脆弱性を修正するため、緊急のセキュリティ更新を公開しました。
CVE-2026-20045として指定されたこの欠陥は、Unified Communications Manager、Session Management Edition、IM & Presence Service、Cisco Unity Connection、Webex Calling Dedicated Instanceを含む、複数の主要なCiscoソリューションに影響します。脆弱性はWebベースの管理インターフェース内に存在し、攻撃者がOSレベルで任意のコードを実行できるようにします。最悪の場合、root権限の取得とシステム全体の完全掌握に至る可能性があります。
正式なCVSS指標ではこの脅威は「高(High)」に分類されていますが、Cisco PSIRTチームは重要度をCriticalに引き上げました。この再分類は、悪用に成功した場合が事実上サーバーの完全侵害に等しいという厳しい現実に基づくものです。Ciscoは、実環境での能動的な悪用を把握していることを確認し、顧客に対して可能な限り緊急に必要なパッチを適用するよう強く求めています。
同社は、侵害された組織の数、潜在的なデータ流出の範囲、または犯行主体の特定について、慎重に沈黙を保っています。公式アドバイザリによれば、この欠陥は管理インターフェース宛てのHTTPリクエストに含まれるユーザー提供データの検証が不適切であることに起因します。攻撃者は、特定の手順で組み立てたリクエストの連続だけで、セキュリティを完全に回避できます。
これらのインターフェースは内部ネットワークやVPN経由でアクセス可能であることが多く、高度な攻撃者にとって格好の標的となります。状況の深刻さは、一時的な緩和策が存在しないことでさらに増しており、管理者に残された唯一の手段は、差し迫った侵害を防ぐための即時パッチ適用です。
今回の動きは、今年のCiscoにとって、またしても重大なセキュリティ危機となります。ほんの数日前にも、同社はSecure Email GatewayおよびSecure Email and Web Managerにおける別の重大なRCE脆弱性に対して緊急修正を提供しました。今回の最新事案は、企業の電話・通信インフラの中核そのものにまでリスクの境界を広げています。
CISAはすでにCVE-2026-20045を、実際に悪用が確認されている脆弱性のカタログに追加しており、米国連邦機関に厳格な修正期限を課すとともに、この更新を先延ばしにすることがもはや現実的な選択肢ではないことを、世界中の組織に対して明確に示しています。
翻訳元: https://meterpreter.org/the-root-of-all-calls-cisco-patches-critical-zero-day-under-active-attack/
