チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「うちのCisco UCM、今も普通に動いてるし大丈夫かな」
「SSRFってどういう脆弱性なの?なんでroot権限まで取られるの?」
チップスボスー!Cisco UCMにWebシェルを仕込まれるって本当でしゅか?しかもroot権限まで取られるって怖いんでしゅけど!
ボス本当だ。WebDialerという機能を入り口にファイルを書き込まれ、最終的にrootまで到達できる4段階の攻撃チェーンが確認されている。しかもTorで自動化された攻撃が、今この瞬間も走っているぞ。
Cisco Unified Communications Manager(CUCM)のSSRF脆弱性CVE-2026-20230が実際に悪用され始めています。
パッチは6月3日に提供済みですが、未適用の環境では今すぐWebシェルを設置される恐れがあります。
この記事ではCVE-2026-20230の攻撃の流れと、今すぐ取るべき対策を解説します。
CUCMは大企業から中堅企業まで広く使われているIP電話基盤です。
今回の脆弱性を放置すると、社内の電話インフラごと攻撃者に掌握される恐れがあります。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
2026年6月3日、CiscoはCVE-2026-20230の修正パッチを公開しました。
しかし公開からわずか3週間後の6月23日、脅威インテリジェンス企業Defusedがハニーポットで最初の悪用を観測します。
翌24日には攻撃がTor経由の自動スキャンに拡大し、CUCMへのWebシェル投下が多発しています。
今回の脆弱性の入り口はWebDialerコンポーネントです。
WebDialerはブラウザからワンクリックで内線発信できる機能で、デフォルトは無効ですが、多くの企業環境で使い勝手のため有効化されています。
影響するバージョンは以下の通りです。
| 製品バージョン | 影響 | 修正バージョン |
|---|---|---|
| Unified CM 14.x | 14SU6未満は影響あり | 14SU6 |
| Unified CM 15.x | 15SU5未満は影響あり | 15SU5またはCOPパッチ |
Ciscoは回避策なしと明言しており、パッチ適用かWebDialerの無効化が唯一の対策です。
6月24日時点でCISAのKEVカタログへの掲載はまだありませんが、実際の攻撃はすでに確認されています。
チップスパッチが出てから3週間で攻撃されてるんでしゅか?はやすぎでしゅ!
ボスPoCが公開されれば翌週には攻撃が始まるのが今の標準だ。「少し様子見してから」という判断が一番危ない。
CVE-2026-20230の核心はSSRF(サーバーサイドリクエストフォージェリ)です。
WebDialerが受け取るHTTPリクエストの入力検証が不十分で、攻撃者が細工したURLを送り込むと、サーバー自身が指定した先にリクエストを発行してしまいます。
「file://」プロトコルを使うと、ファイルシステムへの直接書き込みまで可能になります。
実際に確認された攻撃の流れをまとめます。
WebDialerのSSRFを使い、攻撃者がサーバー上の任意の場所にファイルを書き込む。最初は偵察目的で「/tmp/cve-2026-20230-test.txt」のような確認ファイルが使われる。
書き込み権限を使い、CUCMのWebサーバー内に不正なApache Axisエンドポイントを設置する。これが次の攻撃を実行するための足場になる。
Axisサービス経由で、より強力なJSPベースのファイル書き込みツールをサーバーに設置する。これでファイル操作の自由度が大幅に上がる。
/platform-services/axis2-web/に本格的なWebシェルを配置。root権限で任意のコマンドを実行できる状態となり、以降は攻撃者が自由にサーバーを操作できる。
入り口はSSRFひとつですが、そこから確実にroot権限まで到達する手順が攻撃者の間で共有されてしまっています。
CUCMはVMware ESXi上のCisco UCSサーバーに展開されることが多く、乗っ取られると社内の電話インフラ全体が攻撃者の手に渡ります。
チップスうちの会社、古いバージョンのままかもしれないんでしゅ。どうすればいいでしゅか?
ボス今すぐ2つやれ。まずバージョンを確認する。v14なら14SU6、v15なら15SU5またはCOPパッチを当てる。パッチが間に合わないならWebDialerを今すぐ無効化するだけで攻撃経路を塞げるぞ。
CVE-2026-20230は認証不要でWebシェルまで到達できる、Cisco UCMの深刻な脆弱性です。
Tor経由の自動攻撃が継続中の今、未パッチ環境には即時の対応が求められます。
パッチ適用が最優先ですが、間に合わない場合はWebDialerを無効化するだけで攻撃経路を遮断できます。
「まだ攻撃されていないから大丈夫」という判断が、侵害を招く一番の原因です。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
