CISA、シスコ製品やZimbraなどの脆弱性8件をKEVカタログに追加（CVE-2026-20133ほか）

CISA、シスコ製品やZimbraなどの脆弱性8件をKEVカタログに追加（CVE-2026-20133ほか）

CISA – April 20, 2026

米CISAは4月20日、複数製品の脆弱性8件をKEVカタログ（悪用が確認済みの脆弱性カタログ）に追加。米連邦政府の業務を行う民間行政機関に期限内の対応を命じた。このうちCisco Catalyst SD-WAN Managerの脆弱性3件と、Zimbra Collaboration Suiteの脆弱性1件については対応期限が23日と、かなり短く設定されている。

今回KEVカタログに追加されたCatalyst SD-WAN Managerの脆弱性は、以下3件。いずれについてもランサムウェアキャンペーンで悪用されたかどうかは不明とされる。

• CVE-2026-20128：Data Collection Agent（DCA）機能のユーザーのクレデンシャルファイルが存在することに起因する情報漏洩の脆弱性。認証されていないリモートの攻撃者が悪用を成功させた場合、影響を受けるシステム上でDCAユーザー特権を取得することが可能になる。2月25日にパッチが利用可能となり、3月5日にはシスコ自身が悪用事例を認識している旨をアドバイザリに追記していた。
• CVE-2026-20122：特権APIの不適切な使用に関する脆弱性。影響を受けるシステムのAPIインターフェースで不適切なファイル処理がなされることに起因する問題で、攻撃者が悪意あるファイルをローカルファイルシステムにアップロードすることで悪用を成功させた場合、任意のファイルの上書きおよびvmanageユーザー権限の取得が可能になる恐れがある。CVE-2026-20128と同様2月25日にパッチが利用可能となり、3月5日にシスコ自身が悪用事例を認識している旨をアドバイザリに追記した。
• CVE-2026-20133：認可されていないアクターに機微な情報が漏洩する脆弱性で、ファイルシステムアクセス制限が不十分なことに起因する。認証されていないリモートの攻撃者が悪用を成功させた場合、基盤となるオペレーティングシステムで機微な情報を閲覧できるようになる恐れがある。上記2件と同時に公開された。4月21日時点で、公式アドバイザリには同脆弱性の悪用は認識されていないとの記載があるものの、今回KEVカタログに追加されたことで何らかの攻撃において悪用されていることが明らかになっている。

同じく20日にKEVカタログに追加され、23日までの対応が命じられているZimbra Collaboration Suiteの脆弱性はCVE-2025-48700。2025年6月に公開されたクロスサイトスクリプティングの脆弱性であり、攻撃者が悪用を成功させた場合、ユーザーのセッション内で任意のJavaScriptを実行できるようになる。これにより、機微な情報への不正アクセスが可能になる恐れがあるとされる。ランサムウェアキャンペーンで悪用されているかどうかは不明。

このほか、CISAが同日にKEVカタログへ追加した脆弱性は以下で、対応期限は5月4日。いずれについても、ランサムウェアキャンペーンで悪用されているかどうかは不明だとCISAは記している。

• CVE-2025-2749：Kentico Xperienceにおけるパストラバーサルの脆弱性。認証されたユーザーのStaging Sync Serverによる任意のデータアップロードを可能にするもので、リモートコード実行につながる恐れがある。
• CVE-2023-27351：PaperCut NG/MFにおける不適切な認証の脆弱性。リモートの攻撃者による認証バイパスを可能にするもので、情報の漏洩につながる恐れがある。2023年4月のマイクロソフトの報告によると、Cl0pランサムウェアのオペレーターがPaperCutの別の脆弱性CVE-2023-27350とともにCVE-2023-27351を悪用していたとされる。この過去の事例と、今回KEVカタログに追加された理由となる悪用事例との関連性は現時点で不明。
• CVE-2025-32975：KACE システム管理アプライアンス（SMA）における不適切な認証の脆弱性。攻撃者がこの悪用に成功した場合、有効な資格情報のない正当なユーザーになりすますことが可能となり、管理者アカウントの乗っ取りにつながる恐れがある。Arctic Wolfは2026年3月、同脆弱性の悪用と関連している可能性のある悪意ある活動を観測したと報告していた。
• CVE-2024-27199：JetBrains TeamCityにおける相対パストラバーサルの脆弱性。限定的な管理者アクションの実行を可能にする恐れがある。2024年3月4日に別のTeamCityの脆弱性CVE-2024-27198とともに公開され、CVE-2024-27198については3月7日にKEVカタログに追加されていた。

Mastodonの主要サーバーにDDoS攻撃

TechCrunch – April 20, 2026

Mastodonの主要サーバー「mastodon.social」が4月20日にDDoS攻撃を受け、サイトの大部分がアクセス不能になる障害が発生したという。

Mastodonは20日21:00頃（日本時間）にステータスページを更新し、サイバー攻撃を調査中であると記載。その後23:05分までには、DDoS攻撃対策を講じたことでサイトがアクセス可能な状態になったことを報告した。

Mastodonの担当者は、標的になったのはmastodon.socialのみであり、その他のサーバーを利用するMastodonユーザーは一切影響を受けなかったとコメント。「フェディバースの分散型という特性が真の強みを発揮している事例」であると述べた。

一方で、Mastodonに対するDDoS攻撃の数日前には、同じく分散型のソーシャルネットワークであるBlueskyもDDoS攻撃に見舞われている。「巧妙な」攻撃が4月15日から16日にかけて行われ、ユーザーらが自身のフィードや通知、スレッド、検索を利用できない状態が断続的に続いたとされる。

ハッカーグループ「313 Team（Islamic Cyber Resistance in Iraq）」がこの攻撃の犯行声明を出しているものの、Blueskyは攻撃者が誰だったのかについて言及しておらず、同ハッカーの主張の真偽については裏付けが取れていない。

313 Teamは親イランを掲げるハクティビストグループで、米国・イスラエル・イランの対立が続く中で勢力的に活動を続けている。