Ciscoは、CVE-2026-20182として追跡されている重大なCatalyst SD-WANコントローラー認証バイパス脆弱性が、ゼロデイ攻撃で積極的に悪用され、攻撃者が侵害されたデバイスで管理者権限を取得できるようになったことを警告しています。
CVE-2026-20182は最大重大度10.0を有し、オンプレミスおよびSD-WANクラウドデプロイメントにおけるCisco Catalyst SD-WANコントローラーおよびCisco Catalyst SD-WANマネージャーに影響を与えます。
本日公開された勧告で、Ciscoは問題がピアリング認証メカニズムが「適切に機能していない」ことに起因すると述べています。
「この脆弱性は、影響を受けるシステムのピアリング認証メカニズムが適切に機能していないために存在します。攻撃者はこの脆弱性を悪用して、影響を受けるシステムに細工されたリクエストを送信する可能性があります。」とCisco CVE-2026-20182勧告に記載されています。
「攻撃が成功すると、攻撃者は影響を受けたCisco Catalyst SD-WANコントローラーに内部の高特権の非ルートユーザーアカウントとしてログインできる可能性があります。このアカウントを使用して、攻撃者はNETCONFにアクセスでき、その後SD-WANファブリックのネットワーク構成を操作することができます。」
Cisco Catalyst SD-WANは、ブランチオフィス、データセンター、クラウド環境を集中管理されたシステムを通じて接続するソフトウェアベースのネットワーキングプラットフォームです。コントローラーを使用して、暗号化された接続を通じてサイト間のトラフィックを安全にルーティングします。
同社は5月に脅威アクターがこの脆弱性を悪用しているのを検出したと述べていますが、それがどのように悪用されたかについての詳細は共有していません。
しかし、共有された侵害指標(IOC)は、管理者にSD-WANコントローラーログで不正なピアリングイベントをチェックするよう警告しており、これはSD-WANファブリック内で不正なデバイスを登録しようとする試みを示唆する可能性があります。
不正なピアを追加することで、攻撃者は正当に見えるSD-WAN環境に悪意のあるデバイスを挿入できます。そのデバイスは、暗号化された接続を確立し、攻撃者の管理下にあるネットワークをアドバタイズでき、組織のネットワークからより深く移動することを可能にする可能性があります。
この脆弱性は、異なるCisco SD-WANコントローラーの脆弱性を研究している際にRapid7によって発見され、CVE-2026-20127として追跡されており、2月に修正されました。
CVE-2026-20127は、「UAT-8616」として追跡される脅威アクターによって2023年以来ゼロデイ攻撃でも悪用され、組織内で不正なピアを作成するのに使用されました。
Ciscoは脆弱性に対処するためのセキュリティアップデートをリリースしており、この問題を完全に軽減する回避策はないと述べています。
同社はまた、SD-WANの管理およびコントロールプレーンインターフェースへのアクセスを信頼できる内部ネットワークまたは認可されたIPアドレスのみに制限し、認証ログで疑わしいログイン活動をレビューすることを推奨しています。
CISAはCisco CVE-2026-20182の脆弱性を既知の悪用される脆弱性カタログに追加し、連邦機関に2026年5月17日までに影響を受けるデバイスにパッチを適用するよう命じました。
侵害指標
Ciscoは、不正なアクセスまたはピアリングイベントを示す可能性のあるイベントについて、インターネットに公開されているCatalyst SD-WANコントローラーシステムのログをレビューするよう組織に促しています。
同社は、管理者が/var/log/auth.logをレビューして、不明なIPアドレスからの「Accepted publickey for vmanage-admin」を示すエントリを確認する必要があると述べています。
2026-02-10T22:51:36+00:00 vm sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY]管理者は、ログ内のIPアドレスをCisco Catalyst SD-WANマネージャーのWebUIで一覧表示されている構成されたシステムIPと比較する必要があります。WebUI > Devices > System IPの下にあります。
不明なIPアドレスが正常に認証された場合、管理者はデバイスが侵害されたと考え、Cisco TACケースを開く必要があります。
Ciscoはまた、SD-WANコントローラーログで不正なピアリングアクティビティをレビューし、攻撃者がSD-WANファブリック内で不正なデバイスを登録しようとする可能性があることを推奨しています。
Jul 26 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: control-connection-state-change new-state:up peer-type:vmanagepeer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005Ciscoは、これがCVE-2026-20182を完全に改善する唯一の方法であるため、修正されたソフトウェアリリースにアップグレードすることを強く推奨しています。
Mythosが見つけたもののうち99%はまだパッチが当たっていません。
AIが4つのゼロデイを1つのエクスプロイトにチェーンして、レンダラーとOSの両方のサンドボックスをバイパスしました。新しいエクスプロイトの波が来ています。
自律検証サミット(5月12日&14日)で、自律的でコンテキスト豊富な検証がどのように悪用可能なものを見つけ、制御が保持されることを証明し、修復ループを閉じるかを見てください。
