🛡 概要
Cisco Unified Contact Center Express(UCCX)に、認証不要でリモートからroot権限の任意コマンド実行を許す深刻な欠陥(CVE-2025-20354)が報告され、Ciscoは修正プログラムを公開しました。問題はUCCXのJava RMIプロセスに関連し、細工されたファイルのアップロードを経由してOS上でコマンドを実行・権限昇格できるものです。併せて、UCCXのCCX Editorアプリにおける認証回避(認証フローを不正なサーバへリダイレクトして成功と誤認させる)が修正され、Cisco ISEでは認証不要のDoS(CVE-2025-20343)が対処されています。Cisco PSIRTは現時点で公開エクスプロイトや悪用の証拠は確認していないとしています。UCCXは最大400名規模のコンタクトセンターを支える基盤であり、業務継続性・個人情報保護の観点で即時対応が必要です。
🔍 技術詳細
今回のクリティカルなUCCX欠陥(CVE-2025-20354)は、Java Remote Method Invocation(RMI)プロセスの認証実装が特定機能に紐づく形で不適切だったことに起因します。攻撃者はネットワーク越しにRMI経由で細工ファイルをアップロードし、その処理過程で任意コマンド実行に繋げ、最終的にroot権限へ昇格できます。RMIは通常1099/TCP(レジストリ)および動的ポートを用い、プロセス間のオブジェクト呼び出しやファイル転送を伴うため、認証不備があるとコード実行面に直接露出します。別途、CCX Editorの脆弱性では、認証フローが不正サーバへリダイレクトされても成功と判定されるロジックが問題で、認証を回避して管理権限で任意スクリプトを作成・実行できるリスクがあります。Cisco ISEのCVE-2025-20343は、未認証でDoS(予期しない再起動)を引き起こす問題で、ネットワークアクセス制御基盤の連続運用に影響します。さらに、Contact Center関連の複数欠陥(CVE-2025-20374/20375/20376/20377)は、高権限ユーザが悪用するとroot化、任意コマンド実行、機微情報アクセス、任意ファイルのダウンロード等につながる可能性があります。なお、CVSSスコアは本文提供情報の範囲では未公表であり、公式アドバイザリでの確認が必須です。
⚠ 影響
- コンタクトセンター停止:root権限を掌握されると、音声IVR/ACD/レポーティング等の中核機能が停止し、SLA違反や機会損失が発生。
- 機微データ漏えい:通話録音、顧客連絡先、CRM連携情報などのアクセス・持ち出しリスク。
- 横展開:UCCX基盤から同セグメント内の他サーバへ移動(ラテラルムーブメント)する足場。
- 規制対応コスト:インシデント対応、監査、通知・報告と再発防止で多大な運用負荷。
🛠 対策
- 至急パッチ適用:Ciscoが提示するファーストフィックスに更新(Unified CCX 12.5 SU3 ES07、15.0 ES01)。適用前に必ずバックアップと検証環境での動作確認。
- 露出最小化:UCCX/ISE管理面のネットワーク分離、RMI関連ポート(例:TCP/1099およびRMI動的ポート)の外部露出禁止、管理端末のセグメント固定と多要素認証。
- 認証フロー保護:CCX Editorの認証エンドポイントを厳格に許可リスト化(FQDN検証、証明書ピンニング等)、プロキシ/TLSインスペクションの例外設計見直し。
- ロギング強化:UCCX/ISE/syslog/auditd/アプリログを集中管理(長期保管・改ざん耐性)。失敗/成功の認証イベント、予期せぬ再起動、特権コマンド実行を相関分析。
- 検知ルール整備:RMIトラフィックの異常振る舞い検知、javaプロセス配下でのroot実行監視、CCX Editor由来の不審スクリプト作成アラート。
- インシデント対応:隔離・初動、メモリ/ディスクフォレンジック、資格情報リセット、横展開の痕跡調査、影響評価と関係者連絡。
参考:脆弱性影響は構成に依存せず発現し得るため、露出度が低い環境でもパッチ適用が最優先です。
📌 SOC視点
- ネットワーク:RMI関連フロー(外部→UCCX)急増、未知AS/国からの1099/TCPスキャン、UCCXから外部への予期せぬアウトバウンド。
- ホスト/EDR:親がjava(RMI)で実子プロセスがシェル(/bin/sh, /bin/bash)・スクリプト解釈系の生成、root権限での新規ファイル作成(/tmp, /var/tmp, /opt配下)、権限昇格イベント。
- アプリ:CCX Editorによる認証成功イベントが通常のIdPログと相関しない、認証リダイレクト先FQDNが許可外。
- プラットフォーム:ISEの異常再起動(短時間での連続アップタイムリセット)、コアダンプ/サービス停止ログ。
- 推奨ログ:UCCX/ISEアプリログ、Linux auditd(execve, setuid/setgid)、systemd、auth.log、プロキシ/Firewallフロー、DNSクエリ。
📈 MITRE ATT&CK
- TA0001 初期アクセス: T1190 Exploit Public-Facing Application — 公開サービス(UCCX RMI/CCX Editor)へのリモート悪用。
- TA0002 実行: T1059 Command and Scripting Interpreter — 任意コマンド/スクリプト実行。
- TA0004 権限昇格: T1068 Exploitation for Privilege Escalation — root権限への昇格。
- TA0008 偵察/横展開補助: T1021 Remote Services(該当環境次第)— 取得権限での他ホストアクセス。
- TA0040 影響: T1489 Service Stop および T1499 Endpoint DoS — ISEの再起動誘発によるサービス影響。
🏢 組織規模別助言
- 小規模(〜50名):ベンダ依存運用が多い場合でも即時メンテナンスウィンドウを確保しパッチ適用。管理面はVPN+MFAに限定、1099/TCPは閉塞。外部SOCがなければMDRなど外部監視を短期導入。
- 中規模(50〜500名):ステージング環境での回帰テスト後に本番展開。集中ログで相関ルール(java→shell生成、root昇格)を定義。業務時間外の無停止適用計画とロールバック手順を明文化。
- 大規模(500名〜):チェンジ管理(CAB)で緊急適用を承認し、サイト別段階適用。ゼロトラスト分離(管理/音声/データ面)を強化し、脆弱性SLAとKPIs(MTTR、適用率)を可視化。レッドチームでコントロール有効性を検証。
🔎 類似事例
- CVE-2025-20333 / CVE-2025-20362(Cisco ASA/FTD):CISAが連邦機関へ緊急対策を指示したゼロデイ悪用事例。
- Cisco ISEにおけるroot権限実行を許す欠陥(過去事例):同系統の権限問題として教訓が有効。
- Java RMIの認証/デシリアライゼーション問題を突く攻撃全般:RMI露出は恒常的リスク。
🧭 次の一手
- 自社UCCX/ISEのバージョンと露出状況(RMI/管理面)を棚卸し。
- UCCXを12.5 SU3 ES07または15.0 ES01へ更新、ISE含む関連製品も最新へ。
- RMI/管理ポートの到達制御を即時強化、CCX Editorの認証先FQDNを厳格化。
- EDR/ログに暫定検知ルールを追加し、過去30〜90日分の遡及ハンティングを実施。
- インシデント対応計画(隔離・復旧・連絡)を演習し、権限・資格情報の棚卸しを同時実施。
注:CVSS等の詳細スコアは公式アドバイザリの更新を確認してください。Cisco PSIRTは現在、公開エクスプロイトと実害の証拠を確認していないとしていますが、先行して対策することが重要です。
