CISA KEV 警告 26/01/21:Cisco Unified CM の脆弱性 CVE-2026-20045 を登録

Cisco Unified CM Zero-Day RCE Under Attack, CISA Issues Warning

2026/01/22 gbhackers — CISA は、Cisco Unified Communications Manager (Unified CM) に存在する深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2026-20045 を、2026年1月21日に Known Exploited Vulnerabilities (KEV) カタログに追加した。このゼロデイ脆弱性が影響を及ぼす範囲は、Unified CM/Unified CM Session Management Edition (SME)/Unified CM IM & Presence Service/Cisco Unity Connection/Cisco Webex Calling Dedicated Instance などの、複数の Cisco Unified Communications 製品となる。

この脆弱性を悪用する攻撃者は、コード・インジェクションを目的とし、基盤となる OS のユーザー・レベルのアクセスを取得した後に、root 権限まで昇格する。

脆弱性 CVE-2026-20045 は、不適切な入力処理に起因し、CWE-94 (Code Injection) に関連付けられている。公開レポートにより、実環境での悪用が確認されているため、CISA は緊急指示を発出した。

米連邦政府機関は 2026年2月11日の期限までにパッチを適用するか、Cisco のアドバイザリに従った緩和策の実施が必要になる。対応を怠った場合には、エンタープライズ向けのボイス/コラボレーション環境において、システム全体が侵害されるリスクが生じる。

この脆弱性の悪用に成功したリモート攻撃者は、影響を受けるサービスへ向けて細工されたリクエストを送信することで、悪意のコードを注入できる。続いて攻撃者は、最初に低権限ユーザーとしての足掛かりを得た後に、root 権限への昇格を可能にする。これにより、永続化/データ流出/ラテラル・ムーブメント/ネットワーク全体へのランサムウェア展開が可能となる。

Cisco は、この脆弱性の CVSS スコアを 8.2 (Critical) と評価している。影響を受けるバージョンは、最近の Unified CM リリースにまたがるため、正確な範囲については Cisco のセキュリティ・アドバイザリを確認すべきである。

防御側が直ちに取るべき対応
  • 修正済みバージョンへのアップグレード:Unified CM 14SU3.10000-5/15SU5.10000-32 以降へ更新する。
  • 回避策の適用:ACL により、信頼済み IP のみにアクセスを制限し、不要な IM&P などのサービスを無効化する。
  • ログ監視:不審な API 呼び出しや、予期しないプロセス生成 (例:Web サービスからのシェル起動) を監視する。
  • BOD 22-01 の順守 (米連邦政府機関):クラウド環境では BOD 22-01 に従い、パッチ適用不可能な EoL 製品は使用を中止する。

現時点では、具体的な侵害指標 (IOC) は公表されていない。CISA は、ランサムウェアとの関連について不明としているが、以下の兆候について確認すべきである。

IOC TypeDescriptionExample Hash/Value
FileSuspicious binaries from injectionN/A (monitor /opt/cisco/ for anomalies)
NetworkAnomalous traffic to mgmt portsTCP/8443, 443 from untrusted sources
ProcessRoot escalations post-injectionps aux | grep unexpected shells
LogCode injection attempts/var/log/platform/log/app/logs/* errors

今回の追加により、CISA の KEV カタログは 1,489 件となり、優先対応の重要性が改めて強調されている。

数多くの企業における VoIP 基盤を支える Unified CM は、国家に支援される脅威アクター (APT) やサイバー犯罪者にとって魅力的な標的となっている。

過去の Cisco の欠陥を思い起こすと、たとえば CVE-2020-2021 では、同様の RCE チェーンが侵害に直結した事例が確認されている。

Cisco は、サポート対象ブランチ向けにホット・フィックスを提供しており、即時のパッチ適用を強く推奨している。エアギャップ環境では、SFTP を用いた手動での更新が必要となる。

Cisco Unified Communications Manager (Unified CM) の脆弱性 CVE-2026-20045 が CISA KEV カタログに登録されました。同庁は、この脆弱性の悪用が確認されたとして、連邦政府機関に対して緊急の対応を求めています。この問題の原因は、プログラムが外部からの入力を適切に処理できない、コード・インジェクションの欠陥に起因します。

細工したリクエストを送信するリモートの攻撃者は、低権限のユーザーとしてシステムに侵入し、そこから最高権限である root 権限へと昇格できてしまいます。これにより、通話内容やデータの窃取、さらにはネットワーク全体へのランサムウェア感染といった深刻な被害につながるリスクが生じます。ご利用のチームは、ご注意ください。よろしければ、Cisco Unified CM での検索結果も、ご参照ください。