Critical Cisco Secure Workload Vulnerability Enables Unauthorized API Access
2026/05/21 CyberSecurityNews — Cisco が公開したのは、同社の Secure Workload プラットフォームで発見された、脆弱性 CVE-2026-20223 (CVSS 10.0) に関する情報である。この脆弱性を悪用する未認証の脅威アクターは、内部 API を介して重要機能に対する認証欠如 (CWE-306) の欠陥を突き、機密性の高いリソースへの不正アクセスを引き起こせる。
この問題は、内部 REST API エンドポイントにおける不適切な認証および不十分な検証に起因する。
攻撃に際しては認証は不要であり、細工された API リクエストを対象エンドポイントへ送信することで、この脆弱性の悪用が可能になる。
攻撃に成功した脅威アクターには、Site Admin レベルの権限が付与されるため、対象環境が完全に制御されてしまう。
Cisco Secure Workload 脆弱性
権限昇格後の攻撃者は、以下を実行できる。
- 機密性の高いデータへのアクセス
- コンフィグの変更
- マルチテナント環境における複数テナントへの侵害
クロステナントにもリスクが生じるため、エンタープライズ/クラウド環境において深刻度が大幅に増加する。
この脆弱性は、システム・コンフィグの構成に依存することなく、Cisco Secure Workload Cluster Software の SaaS/オンプレミス環境に影響を及ぼす。
ただし、Cisco によると、この問題は内部 REST API に限定されるため、Web ベース管理インターフェイスには影響しない。
対応
この脆弱性に対する回避策が存在しないことを、Cisco は明言している。したがって、修正バージョンへのアップデートが唯一の対策となる。
修正バージョンは以下の通りである。
- バージョン 3.10:3.10.8.3 で修正
- バージョン 4.0:4.0.3.17 で修正
- バージョン 3.9 以前:サポート対象の修正版への移行が必要
SaaS 環境については、すでに Cisco 側で修正が適用されており、ユーザー側での対応は不要である。
現時点で、実際の攻撃や公開 PoC は確認されていないが、攻撃容易性と深刻度の高さから、セキュリティ・チームにとって最優先で取り組むべき事項である。
この脆弱性は、Cisco の内部セキュリティ・テストにより発見された。それが示すのは、内部 API におけるアクセス制御の不備という継続的なリスクである。
セキュリティ・チームは、以下を実施すべきである。
- 即時パッチ適用
- API 露出状況のレビュー
- 異常な API アクティビティの監視
- 不正なコンフィグ変更の検知
- 異常アクセス・パターンの監視
この事例が示すのは、従来のセキュリティ評価で見落とされがちな内部 API へと、攻撃面積が拡大していることだ。
バックエンド・サービスへの攻撃が増加する中、すべての API レイヤにおける強固な認証/検証メカニズムの実装が不可欠である。
Cisco Secure Workload を利用する組織は、即時アップデートを適用し、潜在的な侵害を防止する必要がある。
Cisco Secure Workload の脆弱性 CVE-2026-20223 は、内部の REST API エンドポイントにおける検証の不十分さと、本来おこなわれるべき認証の欠如が問題の原因となっています。この仕組みの不備により、本来はアクセスが制限されているはずの重要な機能に対して、認証を受けていない外部からのリクエストが到達する状態になっていました。その結果、管理者レベルの権限を完全に奪われ、 重要なデータへのアクセスや設定の変更を許すことにつながります。ご利用のチームは、ご注意ください。よろしければ、Cisco での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.