**Cisco** は、4件の重大な脆弱性に対するセキュリティパッチを発行しました。そのうちの1件は、同社のクラウドベース **Webex Services** プラットフォームを使用している顧客にとって、不適切な証明書検証の不具合により、直ちに対応が必要となります。 **Webex Services** は、ハイブリッドワーク環境におけるコミュニケーションを統合し、場所やデバイスに関係なく、通話、会議、メッセージングを通じてシームレスなコラボレーションを可能にするように設計されています。 ### Webex の脆弱性: CVE-2026-20184 **Webex** の脆弱性、**CVE-2026-20184** は、IT管理者が **Webex** の設定を管理するためのWebベースポータルである **Control Hub** とのシングルサインオン (SSO) 統合内に存在します。この不具合により、権限のないリモート攻撃者が任意のユーザーになりすますことが可能になります。 **Cisco** はアドバイザリで、「この脆弱性が修正される前は、攻撃者はサービスエンドポイントに接続し、細工されたトークンを提供することでこの脆弱性を悪用できた可能性がある」と説明しています。「攻撃が成功した場合、攻撃者は正規の **Cisco Webex** サービスへの不正アクセスを獲得できた可能性がある。」 **Cisco** は **Cisco Webex** サービス内でこの脆弱性を修正しましたが、SSO統合を使用している顧客は、サービスの中断を防ぐために、IDプロバイダー (IdP) の新しいSAML証明書を **Control Hub** にアップロードすることが推奨されます。 ### Identity Services Engine (ISE) の脆弱性 **Webex** の不具合に加えて、**Cisco** はセキュリティポリシー管理プラットフォームである **Identity Services Engine (ISE)** 内の3件の重大なセキュリティ脆弱性 (**CVE-2026-20147**、**CVE-2026-20180**、および **CVE-2026-20186**) に対処しました。 これらの脆弱性が悪用された場合、攻撃者はデバイスの設定に関係なく、基盤となるオペレーティングシステム上で任意のコマンドを実行できる可能性があります。ただし、これには対象システムに対する管理者権限が必要です。 ### その他の脆弱性と緩和策 今週対処されたセキュリティ問題の完全なリストには、認証バイパス、権限昇格、およびサービス拒否状態につながる可能性のある10件の中程度の深刻度の不具合が含まれています。包括的なリストは[こちら](https://sec.cloudapps.cisco.com/security/center/publicationListing.x)で見つけることができます。 **Cisco** の製品セキュリティインシデント対応チーム (PSIRT) は、これらの脆弱性のいずれかが実際に悪用されたという証拠はないと述べています。 ### 最近のCISA命令 先月、サイバーセキュリティ・インフラストラクチャ・セキュリティ庁 (**CISA**) は、連邦機関に対し、**Cisco** の Secure Firewall Management Center (FMC) における最高レベルの脆弱性 (**CVE-2026-20131**) のパッチ適用を義務付けました。この脆弱性は、2026年1月下旬から始まった **Interlock** ランサムウェア攻撃において、ゼロデイとして悪用されていました。