シスコは、ユニファイドコンタクトセンターエクスプレス(UCCX)ソフトウェアの重大な脆弱性を修正するセキュリティアップデートをリリースした。
Cisco UCCXプラットフォームは、同社が「箱の中のコンタクトセンター」と説明する、コールセンターにおける顧客とのやり取りを管理するためのソフトウェアソリューションで、最大400人のエージェントをサポートする。
CVE-2025-20354 として追跡されているこのセキュリティ上の欠陥は、セキュリティ研究者の Jahmel Harris 氏によって Cisco Unified CCX の Java Remote Method Invocation (RMI) プロセスに発見されたもので、認証されていない攻撃者が root 権限でリモートから任意のコマンドを実行できるようになります。
「この脆弱性は、特定の Cisco Unified CCX 機能に関連付けられた不適切な認証メカニズムに起因しています。
「攻撃者は、Java RMIプロセスを通じて、細工したファイルを影響を受けるシステムにアップロードすることで、この脆弱性を悪用することができます。この脆弱性の悪用に成功すると、攻撃者は基盤となるオペレーティングシステム上で任意のコマンドを実行し、権限を root に昇格させることができます。
昨日、シスコはまた、Cisco UCCX の Contact Center Express (CCX) Editor アプリケーションに重大なセキュリティ上の欠陥があり、認証されていない攻撃者がリモートで認証をバイパスし、管理者権限で任意のスクリプトを作成および実行できるようにするパッチも適用しました。
この問題を悪用するには、認証フローを悪意のあるサーバーにリダイレクトした後、CCX Editorアプリケーションに認証プロセスが成功したと信じ込ませる必要があります。
IT管理者は、Cisco UCCXソフトウェアを以下の表に示す修正済みのリリースにできるだけ早くアップグレードすることをお勧めします。
| Cisco Unified CCX リリース | 最初の修正リリース |
|---|---|
| 12.5 SU3 およびそれ以前 | 12.5 SU3 ES07 |
| 15.0 | 15.0 ES01 |
これらの脆弱性は、デバイスの構成に関係なくCisco Unified CCXソフトウェアに影響を及ぼすが、Cisco Product Security Incident Response Team(PSIRT)は、公開されている悪用コードの証拠や、2つの重大なセキュリティ欠陥が悪用された証拠をまだ発見していない。
また水曜日には、Cisco Identity Services Engine(ISE)のIDベースのネットワークアクセス制御およびポリシー実施ソフトウェアに影響を及ぼす深刻度の高い脆弱性(CVE-2025-20343)についても警告している。この脆弱性により、認証されていないリモートの攻撃者がサービス拒否(DoS)状態を引き起こし、パッチを適用していないアプライアンスが予期せず再起動する可能性がある。
Cisco Contact Center 製品には、他にも 4 つのセキュリティ上の欠陥(CVE-2025-20374、CVE-2025-20375、CVE-2025-20376、CVE-2025-20377)があり、高位の権限を持つ攻撃者に悪用されると、ルート権限の取得、任意のコマンドの実行、機密情報へのアクセス、または任意のファイルのダウンロードが可能になります。
今年初め、シスコは、root 権限の昇格を可能にする別の ISE の欠陥にパッチを当てた数カ月後に、脆弱なアプライアンス上で脅威者がroot としてコマンドを実行できる Cisco ISE の脆弱性にも対処しました。
9月、CISAは、ゼロデイ攻撃に悪用されている2つの欠陥(CVE-2025-20333およびCVE-2025-20362)に対して、ネットワーク上のCiscoファイアウォールデバイスを保護するよう米国連邦政府機関に命じる新たな緊急指令を発表した。その数日後、脅威モニタリングサービスShadowserverは、インターネット上に露出した5万台以上のCisco ASAおよびFTDファイアウォールアプライアンスがパッチを適用されないまま放置されていることを発見した。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
秘密 セキュリティ・チートシート:スプロールからコントロールへ
古いキーのクリーンアップでも、AIが生成するコードのガードレールの設定でも、このガイドはチームが最初からセキュアに構築するのに役立ちます。
チートシートを入手して、秘密管理の手間を省きましょう。
Comments