シスコが緊急パッチを公開 – Unified CMとWebexに影響
シスコは、複数のUnified Communications (CM) 製品およびWebex Calling Dedicated Instanceに影響を与える「極めて重大な」セキュリティ脆弱性(CVE-2026-20045)に対する緊急パッチをリリースしました。この脆弱性はゼロデイ攻撃として活発に悪用されていることが確認されています。
脆弱性の詳細: 任意コード実行と特権昇格の危険性
この脆弱性、CVE-2026-20045(CVSSスコア: 8.2)は、認証されていないリモートの攻撃者によって、影響を受けるデバイスの基盤となるオペレーティングシステム上で任意のコマンドが実行される可能性があります。シスコによると、この脆弱性はHTTPリクエストにおけるユーザー提供入力の不適切な検証に起因します。
攻撃者は、影響を受けるデバイスのWebベース管理インターフェースに、巧妙に作成されたHTTPリクエストのシーケンスを送信することで、この脆弱性を悪用できます。成功した場合、攻撃者はまず基盤となるオペレーティングシステムへのユーザーレベルアクセスを取得し、その後root権限に特権を昇格させることが可能になります。この特権昇格の可能性が、今回の脆弱性が「重大」と評価される主な理由です。
影響を受ける製品と修正バージョン
この脆弱性の影響を受ける製品は以下の通りです。
- Unified CM
- Unified CM Session Management Edition (SME)
- Unified CM IM & Presence Service (IM&P)
- Unity Connection
- Webex Calling Dedicated Instance
シスコは、以下のバージョンでこの脆弱性に対処しています。
Cisco Unified CM, CM SME, CM IM&P, および Webex Calling Dedicated Instance
- Release 12.5: 修正済みリリースへの移行が必要です。
- Release 14: 14SU5への適用、またはパッチファイル
ciscocm.V14SU4a_CSCwr21851_remote_code_v1.cop.sha512の適用が必要です。 - Release 15: 15SU4 (2026年3月予定) への適用、またはパッチファイル
ciscocm.V15SU2_CSCwr21851_remote_code_v1.cop.sha512またはciscocm.V15SU3_CSCwr21851_remote_code_v1.cop.sha512の適用が必要です。
Cisco Unity Connection
- Release 12.5: 修正済みリリースへの移行が必要です。
- Release 14: 14SU5への適用、またはパッチファイル
ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512の適用が必要です。 - Release 15: 15SU4 (2026年3月予定) への適用、またはパッチファイル
ciscocm.cuc.CSCwr29208_C0266-1.cop.sha512の適用が必要です。
現時点では、この脆弱性に対する回避策は存在しません。 顧客は、この問題に対処するために修正済みソフトウェアリリースへアップグレードすることを強く推奨されています。
CISAによる警告と対応期限
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、このCVE-2026-20045を「Known Exploited Vulnerabilities (KEV)」カタログに追加しました。これにより、連邦政府機関(FCEB agencies)は2026年2月11日までに修正を適用することが義務付けられています。
背景: 相次ぐゼロデイ攻撃への対応
CVE-2026-20045の発見は、シスコがAsyncOS Software for Cisco Secure Email GatewayおよびCisco Secure Email and Web Managerに影響する別の活動的に悪用されていた重大なセキュリティ脆弱性(CVE-2025-20393、CVSSスコア: 10.0)に対するアップデートをリリースしてからわずか1週間足らずで起こりました。この脆弱性も、攻撃者がroot権限で任意のコマンドを実行することを可能にするものでした。
元記事: https://thehackernews.com/2026/01/cisco-fixes-actively-exploited-zero-day.html