**Cisco**は、Crosswork Network Controller（**CNC**）およびNetwork Services Orchestrator（**NSO**）のサービス拒否（DoS）脆弱性に対するセキュリティアップデートをリリースしました。この脆弱性は、対象システムの手動再起動による復旧を必要とします。 大規模な企業やサービスプロバイダーは、**CNC**ソフトウェアスイートを利用して、自動化によるマルチベンダーネットワーク管理および運用処理を簡素化しています。一方、**NSO**オーケストレーションプラットフォームは、ネットワークデバイスおよびリソースの管理を支援します。 ### 脆弱性の詳細：CVE-2026-20188 **CVE-2026-20188**として追跡されているこの高深刻度のセキュリティ上の欠陥は、受信ネットワーク接続に対する不十分なレート制限に起因します。これは、認証されていない脅威アクターが、低複雑度の攻撃を通じて、パッチが適用されていない**Cisco CNC**および**Cisco NSO**システムをリモートでクラッシュさせるために悪用される可能性があります。 「攻撃が成功すると、攻撃者は利用可能な接続リソースを枯渇させ、**Cisco CNC**および**Cisco NSO**が応答不能になり、正当なユーザーおよび依存サービスに対してDoS状態を引き起こす可能性があります。この状態から回復するには、システムの再起動が必要です」と**Cisco**は水曜日のアドバイザリで説明しています。 「このアドバイザリで説明されている脆弱性を完全に修正し、将来の露出を回避するために、**Cisco**はお客様にこのアドバイザリに記載されている修正済みソフトウェアにアップグレードすることを強く推奨します。」 ### 既知の悪用（現時点）なし **CVE-2026-20188**は対象システムを恒久的にクラッシュさせるために悪用される可能性がありますが、**Cisco**の製品セキュリティインシデント対応チーム（PSIRT）は、現在悪用されているという認識はありません。 ### 対象バージョンと修正プログラム 以下に対象バージョンと対応する修正済みリリースをまとめます。 | Cisco CNC Release | First Fixed Release | |---|---| | 7.1 and earlier | Migrate to a fixed release. | | 7.2 | Not vulnerable. | | Cisco NSO Release | First Fixed Release | |---|---| | 6.3 and earlier | Migrate to a fixed release. | | 6.4 | 6.4.1.3 | | 6.5 | Not vulnerable. | ### Cisco製品におけるDoS脆弱性の履歴 **CVE-2026-20188**はまだ実世界で悪用されていませんが、**Cisco**は過去に攻撃で悪用された他のDoS脆弱性を修正しています。 例えば、2025年11月には、ゼロデイ攻撃で以前に悪用された2つのセキュリティ上の欠陥（**CVE-2025-20362**および**CVE-2025-20333**）が、ASAおよびFTDファイアウォールをリブートループに強制するために使用されていると警告しました。 9月に**Cisco**がこれらの2つの脆弱性を修正した際、**CISA**は連邦機関に対し、24時間以内にこのエクスプロイトチェーンを使用した攻撃から**Cisco**ファイアウォールを保護するよう命じる緊急指令を発令しました。 **Cisco**はまた、悪意のある細工が施された電子メールメッセージを使用して、Secure Emailアプライアンスを恒久的にクラッシュさせる可能性のある脆弱性（**CVE-2022-20653**および**CVE-2024-20401**）にも対処しました。 当時、同社は、手動介入が必要なため、オンラインに戻すためにテクニカルアシスタンスセンター（TAC）に連絡するよう顧客に助言しました。 昨年、**Cisco**は、単一のBGPアップデートメッセージでIOS XRルーター上のボーダーゲートウェイプロトコル（BGP）プロセスをクラッシュさせることを攻撃者に許可する別のDoS脆弱性（**CVE-2025-20115**）を修正しました。