Cisco Unified Communications ManagerのSSRF 脆弱性 CVE-2026-20230 がサイバー攻撃で悪用|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月25日更新日時: 2026年06月25日

シスコシステムズは2026年6月3日、Cisco Unified Communications Manager（CUCM）およびCisco Unified Communications Manager Session Management Edition（CUCM SME）に存在するサーバーサイドリクエストフォージェリ（SSRF）の脆弱性 CVE-2026-20230に対するセキュリティアップデートを公開していました。本脆弱性はCVSS 8.6（High）に評価されていますが、

悪用に成功した場合に攻撃者がroot権限を取得し得ることから、Ciscoはセキュリティ影響レーティング（SIR）をCriticalに引き上げて公表しています。

脆弱性公表から約3週間後の6月20日週末、脅威インテリジェンス企業Defusedが本脆弱性のハニーポット上での悪用を観測したことをXで警告しました。同時期にはSSD Secure Disclosureが詳細な技術解説とPoC（概念実証コード）を公開しており、攻撃の再現難易度が下がった状態にあります。これまでに観測されている攻撃は単一のIPからの偵察目的とみられますが、本格的な悪用フェーズへの移行が懸念されます。

サマリー

CVE：CVE-2026-20230（cisco-sa-cucm-ssrf-cXPnHcW）
深刻度：CVSS 8.6（High）／Cisco SIR：Critical
脆弱性の種類：サーバーサイドリクエストフォージェリ（SSRF、CWE-918）
対象製品：Cisco Unified Communications Manager（CUCM）およびCisco Unified Communications Manager Session Management Edition（CUCM SME）
悪用前提条件：WebDialerサービスが有効になっていること（デフォルトでは無効）
攻撃成立時の影響：未認証リモート攻撃でファイル書き込み、最終的にroot権限取得
修正バージョン：CUCM 14系は14SU6、15系は15SU5（2026年9月予定）またはCOP1
回避策：WebDialerサービスの無効化（一時的な緩和策）
報告者：SSD Secure Disclosureと連携する独立系セキュリティ研究者
攻撃の確認：脅威インテリジェンス企業Defusedがハニーポット上で悪用を観測（2026年6月20日週末）
観測されたPoC：/tmp/cve-2026-20230-test.txtへのテストファイル書き込みによる脆弱機器の特定
CISA KEV：未登録（2026年6月23日時点）

項目	内容
識別子	CVE-2026-20230
製品	Cisco Unified CM / Unified CM SME（WebDialer有効時のみ）
影響	未認証SSRF → 任意ファイル書き込み → root権限取得
CVSS	8.6（High）
Cisco SIR	Critical
修正版	CUCM 14SU6、15SU5（2026年9月）またはCOP1
公開日	2026年6月3日
悪用観測日	2026年6月20日週末（Defusedによる確認）
報告者	SSD Secure Disclosureを通じた独立研究者
回避策	WebDialerサービスの無効化

1 何が起きたか
2 原因
3 偵察フェーズから本格的な悪用への移行リスク
4 情報システム部門が今すぐ取るべき対応
5 FAQ

何が起きたか

2026年6月3日、シスコはCUCMおよびCUCM SMEのWebDialerコンポーネントに存在するSSRF脆弱性CVE-2026-20230を公表し、同時に修正済みソフトウェアをリリースしました。本脆弱性は未認証のリモート攻撃者が細工したHTTPリクエストを送信することで、CUCMサーバー上に任意のファイルを書き込み、最終的にroot権限まで昇格できる可能性があるというものです。発見者はSSD Secure Disclosureと連携する独立系セキュリティ研究者で、公表時点では技術的な詳細は公開されていませんでした。

それから約3週間後の2026年6月20日週末、脅威インテリジェンス企業Defusedが自社のハニーポット上で本脆弱性の悪用を観測したことをXで警告しました。Defusedによると、攻撃は単一のIPアドレスから発信されており、適切に構成されたfile://スキーマのペイロードを使用してCUCMサーバー上にファイルを作成するものでした。観測されているPoCは/tmp/cve-2026-20230-test.txtというテキストファイルを書き込むだけのもので、本格的な侵害ではなく、ネット上に公開されている脆弱なCUCMサーバーを特定する偵察フェーズと評価されています。

ほぼ同じタイミングの2026年6月23日、SSD Secure Disclosureが本脆弱性に関する詳細な技術解説とPoCをサイト上に公開しました。これにより脆弱性の技術的な内部構造と再現方法が広く周知される状況になっており、本格的な攻撃キャンペーンの開始は時間の問題とみられます。

原因

この脆弱性の根本原因は、CUCMの内部APIエンドポイント/cmplatform/installClusterStatusExecuteが受け取るhostnameパラメータに対する入力検証が不十分だった点にあります。

本来このエンドポイントは、CUCMクラスタを構成する複数のノード間でインストール状態を相互確認するために使われる内部用の機能です。クラスタを構成する別ノードのホスト名を引数として受け取り、そのホストに対してHTTPSリクエストを送信してインストールステージの情報を取得するという設計です。

ところが入力されたhostnameの値に対する検証はホストヘッダ検証ロジックという形で実装されているのみで、ファイルパスやエスケープシーケンスのチェックが甘く、攻撃者が制御する文字列がそのままURL構築に使われてしまいます。さらに、内部のJerseyクライアントを介してHTTPSリクエストを発行する設計上、file://スキーマも処理可能であったため、最終的に任意のファイルパスへの書き込みが成立します。

この問題はWebDialerサービスが有効な場合にのみ悪用可能で、デフォルトでは無効になっています。CUCMでクリック発信機能などCTI連携を提供している環境のみが実際の攻撃対象になります。逆に言えば、業務上WebDialerを利用している組織は確実に影響を受ける状態にあるということです。

偵察フェーズから本格的な悪用への移行リスク

現時点で観測されている攻撃は、Defusedによれば単一のIPアドレスから発信されており、テストファイルを書き込んで脆弱な機器を特定する偵察的な性質のものです。本格的な侵害ではなく、攻撃者が事前に標的リストを作成している段階とみるのが妥当です。

しかし、ここから本格的な攻撃キャンペーンへの移行は早ければ数日のうちに起こり得ます。理由は以下の3点です。

第一に、SSD Secureが2026年6月23日に詳細な技術解説とPoCを公開した点です。これにより脆弱性の悪用に必要な技術的知識のハードルが大幅に下がりました。完全な攻撃コードは含まれていませんが、十分な知識を持った攻撃者であれば再現は容易と評価されています。

第二に、CiscoがSIRをCriticalに指定している点です。CVSSは8.6ですが、root権限取得が可能であるという影響の大きさを理由にSIR上は「Critical」として扱われています。これは複数の攻撃者にとって魅力的なターゲットとなることを意味します。

第三に、CUCMはエンタープライズの基幹インフラに位置する製品である点です。VoIP基盤を侵害できれば、社内通話の盗聴・社外通話の改ざん・社内ネットワークへの足がかりの確保など、攻撃者にとって多様な後続活動が可能になります。シスコのCUCMは2025年12月にもCisco Secure Email Gatewayが攻撃キャンペーンの標的になり、TOKAIコミュニケーションズで実害が発生した事例があるように、シスコ製エンタープライズ製品全般が継続的に狙われている状況です。

情報システム部門が今すぐ取るべき対応

WebDialerの有効状態の確認が最優先です。CUCMを運用している場合、まず自社環境でWebDialerが有効になっているかを確認してください。確認手順はCisco Unified CM Administrationインターフェースにログインし、Navigationメニューから「Cisco Unified Serviceability」を選択してGoをクリック、ToolsメニューからControl Center – Feature Servicesを開き、CTI Servicesセクションで「Cisco WebDialer Web Service」のステータスを確認します。Startedとなっていれば有効です。

WebDialerが業務上必要ない場合は無効化することを即座に検討してください。無効化はCisco Unified Serviceabilityの「Service Activation」から「Cisco WebDialer Web Service」のチェックを外して保存します。これは恒久的なパッチ適用までの一時的な緩和策ですが、本格的な攻撃キャンペーンが始まる前に攻撃面を縮小しておく意味は大きいです。

WebDialerが業務に必要な場合は、即座に修正済みリリースへのアップグレード計画を立ててください。CUCM 14系を運用している場合は14SU6へ、15系を運用している場合は15SU5（2026年9月リリース予定）またはCOP1パッチへの更新が必要です。15SU5の正式リリースまでに時間がある場合は、COP1パッチによる先行対応を検討すべきです。

ネットワーク境界での防御も組み合わせるべきです。CUCMの管理画面・Webサービスは原則として社内ネットワークからのみアクセスできるよう、ファイアウォールやACLで制限してください。インターネット上に公開されているCUCMがあれば、業務上の必要性を再評価し、可能な限りVPNや専用接続経由のアクセスに切り替えることを推奨します。

ログ監視として、/tmp配下や/common/log/配下に予期しないファイルが作成されていないか、/cmplatform/installClusterStatusExecuteへのアクセスログがないかを確認してください。攻撃が成功している場合、Tomcatのwebappsディレクトリ配下に不審なJSPファイルが配置されている可能性もあります。

FAQ

Q. WebDialerがデフォルトで無効ということは、デフォルト設定であれば影響ありませんか？

A. はい。CiscoはWebDialerサービスが無効の場合は脆弱性が悪用されないと明示しています。ただし、業務上WebDialerを利用している組織は確実に影響を受ける状態にあるため、設定状況の確認が必要です。

Q. PoCが公開されているとのことですが、攻撃の再現は容易ですか？

A. SSD Secureが公開したPoCには完全な攻撃コードは含まれていませんが、技術的な仕組みと実行手順は詳細に解説されています。専門知識を持つ攻撃者であれば再現は容易と評価されています。修正版へのアップグレードまたはWebDialerの無効化を急ぐ必要があります。

Q. CISA KEV（既知の悪用脆弱性カタログ）に登録されていますか？

A. 2026年6月23日時点ではCISA KEVに登録されていません。ただしDefusedが既に悪用を観測しており、登録は時間の問題とみられます。米国連邦機関の運用基準を採用している組織は、KEV登録前から対応を進めることを推奨します。

Q. CUCM 15SU5の公開予定は2026年9月とのことですが、それまでの間どうすればよいですか？

A. CUCM 15系を運用している場合は、Ciscoが提供しているCOP1パッチで先行対応することができます。あるいは恒久対応までの一時的な緩和策として、WebDialerサービスを無効化することも選択肢です。業務影響を確認したうえで判断してください。

Q. 過去のCUCM関連の脆弱性とどう違いますか？

A. CUCM単体のSSRFから任意ファイル書き込み・root権限取得まで達成できる脆弱性は、ここ数年では珍しい部類です。直近では2025年5月のCisco Unified Intelligence Centerの権限昇格脆弱性（CVE-2025-20113）などがありましたが、認証要件があり、本件のように未認証で深刻な影響を及ぼせる脆弱性は影響範囲が広く、対応の優先度が高いと判断すべきです。

出典

当サイト関連記事