CISA sets urgent deadline to fix Cisco flaw exploited in attacks
2026/06/26 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用されている Cisco Unified Communications Manager Server の脆弱性に対して、6月28日までの 3日間でパッチを適用するよう、連邦政府機関に求めている。この Server-Side Request Forgery (SSRF) の脆弱性 CVE-2026-20230 は、同機関の Known Exploited Vulnerabilities (KEV) カタログに追加された。

Binding Operational Directive (BOD) 26-04 に従い、この修正対応は緊急と見なされており、6月28日の日曜日までに完了する必要がある。
Cisco は CVE-2026-20230 を Critical 深刻度と評価し、6月3日にパッチをリリースしている。未認証のリモート攻撃者により、特別に細工された HTTP リクエストを介して、この脆弱性が悪用される可能性があると、同社は警告していた。
当初 Cisco は、概念実証 (PoC) エクスプロイトが存在することを指摘していたが、積極的な悪用の証拠は見つかっていないとしていた。
しかし、その後に脅威検知スタートアップの Defused は、影響を受けるエンドポイント上に任意のテキスト・ファイルを書き込む攻撃で、この脆弱性が悪用されていることを観測した。
現時点では、脆弱性 CVE-2026-20230 を攻撃で利用している、脅威アクターについては不明である。
さらに CISA は、PTC Windchill および FlexPLM ソフトウェア製品に影響を及ぼす不適切な入力検証の欠陥 CVE-2026-12569 も、KEV カタログへ追加した。
いずれのソフトウェアも、製造/エンジニアリング/小売などの業界向けに PTC が開発した、製品ライフサイクル管理 (PLM) システムである。
脆弱性 CVE-2026-12569 は、信頼できないデータのデシリアライゼーションを介して悪用が可能な、深刻度 Critical リモート・コード実行 (RCE) の脆弱性である。
6月1日の時点で、この問題を開示した PTC は、セキュリティ・アドバイザリを公開している。顧客に対して求められるのは、脆弱な Windchill および FlexPLM のバージョンを確認し、直ちに修正措置を講じることである。
ベンダーによると、この欠陥が影響を及ぼす範囲は、バージョン 11.0 の全てであるが、バージョン 11.1/11.2/12.0/12.1/13.0/13.1 の各リリース系列にも影響する。
連邦政府機関が CVE-2026-12569 にパッチを適用する期限についても、CISA は 6月28日を設定している。
BOD 26-04 の対象となる政府機関および組織は、利用可能なセキュリティ更新プログラムとベンダー推奨の緩和策を適用するか、指定された期限までに対象製品の使用を停止することで、直ちにシステムを保護する必要がある。
訳者後書:Cisco と PTC の脆弱性が、CISA KEV に登録されました。これらの脆弱性は、検証の手続きをすり抜ける特定の通信データを受け入れてしまう仕組みに起因します。対策を怠ると、リモートからの不審なファイルの配置や、不正なプログラムの実行が生じ、組織全体の運用停止に関わる重大な被害が生じます。対応策として、まずは利用している製品のバージョンを大至急確認し、最新の修正用プログラムを速やかに反映させる必要があります。よろしければ、CISA KEV ページも、ご参照ください。
You must be logged in to post a comment.