概要:シスコUnified CMのゼロデイRCE脆弱性が悪用中
米国サイバーセキュリティ・社会基盤安全保障庁(CISA)は、Cisco Unified Communications Manager(Unified CM)における重大なゼロデイRCE(リモートコード実行)脆弱性「CVE-2026-20045」が現在、活発に悪用されていることを警告しました。この脆弱性は、2026年1月21日にCISAの既知の悪用されている脆弱性(KEV)カタログに追加され、組織に対し2026年2月11日までの緊急パッチ適用を義務付けています。
脆弱性の詳細と影響範囲
CVE-2026-20045は、不適切な入力処理(CWE-94: コードインジェクション)に起因する重大な脆弱性です。攻撃者は細工されたリクエストを送信することで、対象サービスに悪意のあるコードを注入し、オペレーティングシステムへのユーザーレベルアクセスを獲得後、root権限への昇格が可能となります。この脆弱性は以下のCisco Unified Communications製品に影響を与えます。
- Unified CM
- Unified CM Session Management Edition (SME)
- Unified CM IM & Presence Service
- Cisco Unity Connection
- Cisco Webex Calling Dedicated Instance
この脆弱性が悪用されると、攻撃者はシステムの永続的なアクセス権の確立、データ漏洩、水平移動、さらにはランサムウェアの展開といった広範なシステム侵害を引き起こす可能性があります。Ciscoはこれを高危険度と評価していますが、初期の公開情報にはCVSSスコアは含まれていません。
組織に求められる緊急対策
CISAは、組織がこのゼロデイ脆弱性から自らを保護するために、以下の即時的な措置を講じるよう強く求めています。
- パッチ適用によるアップグレード:
Unified CM 14SU3.10000-5、15SU5.10000-32、またはそれ以降のバージョンへアップグレードしてください。 - 回避策の実施:
ACL(アクセスコントロールリスト)を介して信頼できるIPアドレスからのアクセスを制限し、必要のないIM&Pなどのサービスは無効にしてください。 - ログの異常監視:
疑わしいAPIコールや、Webサービスからの予期せぬプロセス起動(例:シェル)など、異常なログを監視してください。 - クラウドインスタンスへの対応:
CISA BOD 22-01に従い、パッチ適用が不可能なEOL(サポート終了)製品は使用を中止してください。
特に、認証なしで公開されている管理インターフェースやAPIエンドポイントが攻撃の標的となる可能性が高いとされています。
侵害の指標(IOCs)
現在のところ、具体的な侵害指標(IOCs)はCISAによって「不明」とされていますが、以下の兆候に注意を払うことが推奨されます。
- ファイル: 注入された疑わしいバイナリ(例:
/opt/cisco/下の異常を監視) - ネットワーク: 信頼できないソースからの管理ポート(TCP/8443, 443)への異常なトラフィック
- プロセス: 注入後のroot権限昇格(例:
ps aux | grep unexpected shellsでシェルプロセスの監視) - ログ: コードインジェクションの試みを示すログエラー(例:
/var/log/platform/log/app/logs/*内のエラー)
Unified CMは数千もの企業でVoIPを支える基盤であり、国家規模の攻撃者やサイバー犯罪者にとって魅力的な標的です。過去にもCVE-2020-2021のようなCiscoの脆弱性が同様のRCEチェーンを通じて侵害につながった事例があります。
Ciscoは、サポートされているブランチ向けのホットフィックスを含む、即時的なパッチ適用を強く推奨しています。エアギャップ環境にあるシステムに対しては、SFTPを介した手動更新が可能です。