Cisco Unified CMの脆弱性「CVE-2026-20230」を狙う攻撃が激化、パッチ適用だけではWebシェルを排除できない恐れ

CiscoのIP電話・コラボレーション管理プラットフォーム「Cisco Unified Communications Manager（Unified CM）」の脆弱性（CVE-2026-20230）を悪用し、Webシェルを設置する攻撃が活発化している。脅威インテリジェンス企業Defusedの報告によると、Torを経由した自動スキャンにより、脆弱なシステムへのWebシェル設置が確認された。この脆弱性は2026年6月3日にパッチが公開されているが、パッチ適用前に侵害された場合、パッチを適用するだけでは設置されたWebシェル（バックドア）を排除できないため、早急な侵害調査と対策が必要とされている。

■脆弱性「CVE-2026-20230」の概要と影響範囲

CVE-2026-20230は、Cisco Unified CMおよびUnified CM Session Management Edition（SME）の「WebDialer」サービスに存在するサーバー側リクエストフォージェリ（SSRF）の脆弱性である。WebDialerは、Webディレクトリやデスクトップアプリケーションからクリック操作で発信できるブラウザベースの機能である。

この脆弱性のCVSSスコアは8.6（High）だが、シスコは最終的にroot権限を奪取される恐れがあるとして、セキュリティ影響評価（Security Impact Rating）を「Critical（重大）」に引き上げている。アドバイザリIDは「cisco-sa-cucm-ssrf-cXPnHcW」として追跡されている。

この脆弱性の悪用には、認証やユーザーの関与は一切不要である。攻撃者は、WebDialerサービスが有効になっているUnified CMシステムにネットワークアクセスできれば攻撃を仕掛けることができる。WebDialerはデフォルトでは無効に設定されているが、企業の電話システムではクリックコール機能をサポートするために日常的に有効化されているため、実際の導入環境の多くが危険にさらされているとみられる。

影響を受けるソフトウェアは、14SU6未満のすべてのUnified CMおよびUnified CM SME 14.xリリース、および2026年9月にリリースが予定されている15SU5未満のすべての15.xリリースである。シスコは15.x向けに、それまでの暫定的な対策として「Cisco Options Package（COP）」パッチを提供している。

■WebDialer悪用の攻撃プロセス

SSD Secure Disclosureが文書化した攻撃チェーンは3つのステップで構成されており、どの段階でも認証情報は不要である。

第一に、攻撃者は標的となるUnified CMサーバーの特定のURLにクエリを送信し、システムの真のホスト名を取得する。この情報は認証なしで取得可能であり、ファイル書き込み段階の前提条件となる。

第二に、攻撃者は「/cmplatform/installClusterStatusExecute」エンドポイントに対して、パス・トラバーサル・シーケンスを埋め込んだ不正なホスト名値を含むHTTP GETリクエストを送信する。ポート8443上のCisco Tomcat内でWebDialerを実行しているUnified CMサーバーは、ホスト名パラメータの検証を行わずにこのリクエストを処理する。Cisco Voice Operating Systemの内部ループバックサービスはローカル通信を信頼するため、SSRFによって攻撃者が制御するパスにXMLファイル（不正なApache Axisサービス）が書き込まれる。

第三に、攻撃者はデプロイされたAxisサービスのエンドポイントに対してJSPコードスニペットを送信し、TomcatのWebアプリケーションディレクトリ（/platform-services/axis2-web/）に書き込ませる。これにより、JSPコードがTomcatプロセスの権限で実行可能になる。さらに、SSHのauthorized_keysへの書き込みやcronディレクトリの変更などのLinux権限昇格手法を組み合わせることで、最終的にroot権限が奪取される。

この攻撃チェーンは、2019年のApache Axis 1.4の脆弱性（CVE-2019-0227）と構造的に類似している。Cisco Unified CMは、Axisライブラリを組み込む際に入力検証の制御が不十分だったため、ファイル書き込みの手段として再利用されるのを防げなかったと指摘されている。

■偵察からWebシェル設置への攻撃激化

Defusedの報告によると、2026年6月21〜22日の週末に最初の攻撃活動が観測された。この段階では、脆弱なホストを特定するためのテストファイル（/tmp/cve-2026-20230-test.txt）の書き込みを試みる偵察活動であり、単一のIPアドレスから発信されていた。

しかし、6月24日までに状況が変化し、Torを経由した自動スキャンによって、3段階のWebシェルが実際にデプロイされるようになった。Webシェルが設置されると、攻撃者は元の脆弱性を利用することなく、永続的なリモートコード実行（RCE）が可能になる。

6月24日時点で、米サイバーセキュリティ・インフラセキュリティ庁（CISA）の「悪用が確認されている脆弱性（KEV）」カタログには追加されていないが、実社会での攻撃が確認されているため、追加される可能性が高いとみられている。シスコはアドバイザリを更新して攻撃の事実を反映させておらず、シスコもDefusedもIoC（侵害指標）や攻撃者の特定情報は公開していない。

■標的となるエンタープライズ電話インフラの価値

Cisco Unified CMは、大企業の音声ルーティング、ビデオ、ボイスメールなどを管理する中核プラットフォームであり、病院、インフラ企業、金融機関、政府機関などで広く利用されている。

Unified CMが侵害されると、通話ルーティング設定、内部の電話認証情報、ダイヤルプラン、ボイスメールデータが漏洩するだけでなく、隣接するネットワークへの横展開（ラテラルムーブメント）の足がかりとなる。

SecurityWeekは、Unified CMの役割から、この脆弱性が金銭目的のサイバー犯罪者や国家支援の脅威アクターを引きつける可能性が高いと指摘している。2026年に入ってから攻撃への悪用が確認されたUnified CMの脆弱性は、CVE-2026-20045に続き2件目となる。

■パッチ適用だけでは不十分な理由

6月3日のパッチ公開から攻撃が活発化した6月24日までの間に露出していた組織にとって、これが最も重要な点である。パッチを適用すれば脆弱性（侵入口）は塞がれるが、パッチ適用前に設置されたWebシェルは削除されない。

Webシェルは永続的なバックドアであり、サーバーを再起動しても、パッチを適用しても残存する。攻撃者はWebシェルのURLにHTTPリクエストを送信するだけで、コマンドを実行し続けることができる。

米国家安全保障局（NSA）も2020年の共同アドバイザリで、Webシェルはセキュリティツールを回避し、パッチ適用後もネットワークへの永続的なアクセスを維持するために設計された、長期的かつ蔓延している脅威であると警告している。

6月21日以降にパッチを適用した組織で、WebDialerが有効であり、管理インターフェースが内部ネットワークからアクセス可能だった場合は、侵害されている可能性を前提に、単なるパッチ適用の確認にとどまらず、アクティブなインシデント対応（侵害調査）を行うべきである。

■推奨されるセキュリティ対策

第一に、即時パッチ適用を行うこと。14.xは14SU6へアップグレードし、15.xは9月の15SU5を待たずに、暫定COPパッチを今すぐ適用する必要がある。

第二に、業務上不要な場合はWebDialerを無効化すること。Cisco Unified CM Administrationにログインし、Cisco Unified Serviceabilityの「Tools」＞「Control Center - Feature Services」を開き、「CTI Services」セクションで「Cisco WebDialer Web Service」が「Started」になっているか確認する。無効化するには、「Tools」＞「Service Activation」でチェックを外し保存する。

第三に、管理インターフェースへのアクセスを制限すること。管理画面やサービス画面をインターネット、ユーザーVLAN、ゲストネットワークから隔離し、許可された管理者用端末やジャンプホストからのみアクセスできるようにACLで制限する。

第四に、侵害の痕跡（ポストエクスプロイト）を調査すること。OSレベルの監査ログで、特に「/tmp/」や「/platform-services/」配下での予期しないファイル作成イベントを確認する。TomcatのWebアプリケーションディレクトリ内の不審なJSPファイル、Webサーバーログにおける「/webdialer/services/」や「axis2-web」ディレクトリへの異常なリクエストを調査する。また、権限昇格されたローカルアカウントや、cron、SSHのauthorized_keysへの不正な変更がないか確認する。

第五に、サポート終了（EOL）ソフトウェアを監査すること。シスコがセキュリティパッチを提供していない古いバージョンのUnified CMを使用している場合は、緊急のアップグレードを最優先で行う必要がある。

■注目ポイントQ&A

●Cisco Unified CM環境がCVE-2026-20230に対して脆弱かどうかを確認するにはどうすればよいですか？

脆弱性の影響を受けるには、システムが14SU6未満の14.x、または15SU5未満の15.xを実行しており、かつWebDialerサービスが有効になっているという2つの条件を満たす必要があります。WebDialerのステータスを確認するには、Cisco Unified CM Administrationにログインし、ナビゲーションメニューから「Cisco Unified Serviceability」を選択、「Tools」＞「Control Center - Feature Services」に移動します。「CTI Services」セクションで「Cisco WebDialer Web Service」のステータスが「Started」になっていれば脆弱な状態です。「Not Running」であれば、この特定の脆弱性の影響は受けません。

●6月3日にパッチを適用し、WebDialerを有効にしていた場合、現在は安全ですか？

攻撃がシステムに到達する前に6月3日のパッチを適用していれば、脆弱性は修正されており、攻撃者がWebシェルをインストールすることはできません。しかし、WebDialerを有効にした状態で、6月21日から24日の間に内部ネットワークからアクセス可能な状態であり、かつ侵害調査（「/platform-services/axis2-web/」内の不審なJSPファイル、Webサーバーログの異常なリクエスト、新しいローカルアカウントの確認など）を行っていない場合は、アクティブなインシデント対応を実施する必要があります。パッチは侵入口を塞ぎますが、すでに侵入している攻撃者を排除することはできません。

●WebDialerを無効にすれば、パッチ未適用のシステムを完全に保護できますか？

はい、Cisco WebDialer Web Serviceを無効にすることで、この脆弱性が起動しなくなるため、CVE-2026-20230の攻撃対象領域を排除できます。シスコは、パッチをすぐに適用できない組織向けの有効な暫定回避策としてこれを説明しています。ただし、これはソフトウェアの根本的な入力検証の欠陥を修正するものではないため、アップデートが可能になり次第、速やかにパッチを適用する必要があります。また、無効化する前に、業務に影響が出ないか確認してください。

●この脆弱性は、CISAが2026年1月に悪用を確認された脆弱性リストに追加したものと同じですか？

いいえ、異なります。2026年1月21日にCISAのカタログに追加された脆弱性は「CVE-2026-20045」で、Cisco Unified CMおよび関連音声製品におけるコードインジェクションの脆弱性であり、パッチ公開前にゼロデイ攻撃として悪用されました。今回の「CVE-2026-20230」は、WebDialerコンポーネントにおけるサーバー側リクエストフォージェリ（SSRF）の別の脆弱性であり、2026年6月3日にパッチが公開されました。6月24日時点ではCISAのカタログに追加されていませんが、実際の攻撃が確認されているため、今後追加される可能性が高いとセキュリティ研究者は予測しています。

元記事: Cisco Unified CM CVE-2026-20230: Webshell Drops Confirmed, Patch Alone Won’t Evict Attackers