出典: Alamy Stock Photo経由MTP
高度に洗練された脅威アクターがCisco Catalyst Software-Defined Wide Area Network (SD-WAN)コントローラーの重大な脆弱性を悪用しています。
Rapid7がCiscoの市場をリードするネットワーク管理ソリューションの認証バイパス脆弱性CVE-2026-20182を開示しました。認証されていない攻撃者が組織の最も強力なツールの1つを自由に操作できるようにすることで、一般的脆弱性評価システム(CVSS)で最高の10/10スコアを獲得しました。
本日の更新版ブログ投稿で、Rapid7の脆弱性インテリジェンスディレクターであるダグラス・マッキーは、これがどれほど深刻な問題であるかを強調しました。「攻撃者は中央インフラの弱点を大きな影響を与える作戦に変えるのが非常に上手になりました」と彼は警告し、特に国家レベルの攻撃者にとって「SD-WANコントローラーは[スパイ活動]を実行するのに最適な場所です。ほとんどの組織が質問することはめったにない信頼関係の真ん中に存在しているからです」と述べました。センセーショナリズムを避けるために、マッキーは「公平に言えば、すべてのバグが一晩のうちにインターネット全体の悪用になるわけではありません」と付け加えました。
実際、CVE-2026-20182は一晩のうちに悪用されていました。同じ日の別の発表で、Cisco Talosの研究者は、追跡しているグループUAT-8616がすでにそれに到達したことを報告しました。
ハッカーがCisco Catalystの重大なバグを悪用
CVE-2026-20182は今年Cisco Catalystで発見された最初の脆弱性ではないだけでなく、CVSSスケールで「重大」な10スコアを持つ最初の認証バイパス脆弱性でさえありません。
2月、CiscoはCatalystの多数の問題を明らかにしました。最高のものはCVE-2026-20127で、認証されていない攻撃者が高い特権を持つユーザーとしてCiscoコントローラーにログインする能力を与えました。Ciscoは野生でのCVE-2026-20127の悪用を「限定的」と特徴付けましたが、Talos研究者はサイバー年数では一生涯にあたる少なくとも数年間続いた広範な悪用があったと示唆しました。彼らはその悪用の背後にある脅威クラスタアクターに「UAT-8616」というラベルを付け、「高度に洗練された」と呼びました。
CiscoはCVE-2026-20127にパッチをあて、UAT-8616の楽しみを台無しにする脅威がありました。ただし、脅威アクターはまったく動じず、同じ製品ラインでほぼ同一のほぼ同じ脆弱性をほぼすぐに拾ったようです。
違いは本当に技術的なものだけです。2月には、Catalyst ControllerとManagerがSD-WANコンポーネント認証に十分に厳格ではなかったため、通りすがりのハッカーが特別に細工されたメッセージを使用してデバイスになりすまして侵入することができました。今月の問題は、Controllerがクラウドデプロイメントで使用されるハブルーター「vHub」と呼ばれる特定のタイプのコンポーネントの正当性を認証前に実際に検証していないということです。その結果、2月のCVE以前と同様に、攻撃者はこの新しいCVEを使用してターゲットシステムで管理特権を取得し、あらゆる種類のネットワーク設定を操作できるプロトコルである「NETCONF」にアクセスできます。
Ciscoの顧客の次に何が起こるかもしれません
UAT-8616がCatalystの認証バイパスバグを初めて悪用したとき、それはアクセスを利用して古い脆弱性CVE-2022-20775を悪用し、特権からルートアクセスに昇格させました。明示的には述べていませんが、Talosは脅威アクターが重要インフラストラクチャ(CI)セクターを含む高価値組織に永続的な足がかりを確立しようとしていた可能性があることを示唆しました。
今回、研究者は初期アクセスを獲得した後、対象システムへのSSHキーの追加、NETCONF設定の変更、rootへの昇格を含む「同様の侵害後アクション」を実行する脅威アクターを観察しました。
UAT-8616についてはこれ以上ほとんど知られていませんが、推測をいとわない人はエッジテクノロジー、特にCiscoプロダクトを悪用する最も洗練された脅威アクターは通常中国人であることに気付くかもしれません。その上、最新のブログでTalosはUAT-8616が追跡している「Operational Relay Box (ORB)ネットワーク」と「重なる」ことを書きました。ORBは中国のグループの間で最も一般的です。
UAT-8616を避けたい組織はCiscoの新しくリリースされたパッチをCVE-2026-20182に実装する必要があります。そうしなければ、「脆弱性が発生した場合、単一のコンプロマイズされたコントローラーがネットワーク全体に影響を与える可能性があるため、中央制御プレーンはより高い結果をもたらします」とRapid7のシニアセキュリティ研究者であるジョナ・バージェスは警告しています。
最近、脆弱性から生じる大きなリスクがあるにもかかわらず、バージェスは組織が落胆しないように提案しています。「集中SD-WAN管理は実際の運用上の問題を解決し、アーキテクチャ自体は欠陥ではありません」と彼は言います。
最新のDark Reading Confidentialポッドキャストをお見逃しなく、 USBペネトレーションテストの物語がどのようにバイラルになったか。20年前、Dark Readingは最初の大ヒット作を投稿しました — クレジットユニオンの駐車場の周りに細工されたペンドライブをばらまき、好奇心旺盛な従業員に残りをさせたペンテスターのコラムです。このエピソードは、その著者Steve Stasiukonisと一緒に歴史的作品を振り返ります。 今すぐ聞く!
翻訳元: https://www.darkreading.com/vulnerabilities-threats/maximum-severity-cisco-sd-wan-bug-exploited
