2025年4月16日、CiscoはWeb会議ツール「Cisco Webex App」に関して、リモートコード実行(RCE)を可能にする高深刻度の脆弱性(CVE-2025-20236)を公表しました。この脆弱性は、細工されたミーティングリンクを通じて、ユーザーの端末上で任意のコマンドが実行される可能性があるというもので、CVSSスコアは8.8(High)と評価されています。
影響を受けるバージョンと修正済みリリース
Ciscoは以下のとおり、バージョンごとの対応状況を公表しています。特に「44.6」および「44.7」を使用している環境ではアップデートが急務です。
| Webex App バージョン | 対応状況 |
|---|---|
| 44.5以前 | 影響なし |
| 44.6 | 44.6.2.30589で修正済み |
| 44.7 | 修正済みバージョンへの移行が必要 |
| 44.8以降 | 影響なし |
アップデート対象かどうかの確認と、バージョンの取得はCiscoのサポートページから行えます。
脆弱性の概要と攻撃の成立条件
脆弱性の本質は、Webexがミーティング招待リンクを処理する際に、URLの中身を十分に検証せずに処理してしまう点にあります。攻撃者は、以下のような流れで悪用が可能です。
-
攻撃用に細工されたWebexミーティングリンクを生成
-
被害者にクリックを促し、任意ファイルのダウンロードを誘導
-
ユーザー権限でコマンド実行が可能に
この攻撃は、ユーザーがリンクをクリックするだけで成立するため、ソーシャルエンジニアリングと組み合わされることで、被害の可能性が高まります。なお、WebexのOSやシステム設定には関係なく、すべての環境が影響対象となっています。
なぜこの脆弱性が重大なのか
この脆弱性の深刻性は以下の点にあります
-
認証不要・外部からの悪用が可能:攻撃者は認証を突破せずに仕掛けることができる
-
ユーザーの行動(リンクのクリック)だけで被害が成立
-
低複雑度での攻撃実行が可能:自動化や大量送信との親和性が高い
-
クロスプラットフォームで影響:Windows、macOS、Linuxなど環境を問わず危険
Cisco PSIRT(Product Security Incident Response Team)によれば、本稿執筆時点では悪用の事例やPoC(Proof of Concept)は確認されていないとしていますが、今後の攻撃ツールへの組み込みは時間の問題と見るべきです。
他の脆弱性とあわせて注意すべき点
Ciscoは今週、他にも複数の脆弱性に対する修正を発表しています:
-
CVE-2025-20178:Secure Network Analyticsの管理画面における特権昇格の脆弱性(root権限の取得が可能)
-
CVE-2025-20150:Nexus Dashboardにおいて、LDAPユーザーの列挙が可能な脆弱性
-
CVE-2024-20439(※注目):Cisco Smart Licensing Utilityにおけるハードコードされた管理者アカウントの脆弱性(すでに実際の攻撃で悪用中)
これらの一連の修正から見ても、Cisco製品の利用企業にとっては今がパッチ適用のタイミングです。
関連記事
シスコシステムズが不正アクセスの公式声明を発表 DevHubポータルを非公開に
シスコ、10年前の脆弱性を悪用する攻撃に関して注意喚起(CVE-2014-2120)
EDR製品の導入検討中の方必見!選び方から導入要件まで解説 製品比較表付き
Cisco URWBで重大な脆弱性 (CVE-2024-20418)
FortiManagerの重大な脆弱性(CVE-2024-47575)がゼロデイ攻撃に悪用
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
Fortinet、FortiSwitchの重大な脆弱性を修正、対象者はアップデートを(CVE-2024-48887)
脅威アクターがシスコシステムズへ不正アクセスを主張 ハッキングしたデータを販売中
Ciscoがメール セキュリティ製品(Security Email Gateway)の重大な脆弱性を修正(CVE-2024-20401)
