シスコは木曜日、攻撃で悪用されたもう1つの重大なSD-WANゼロデイ脆弱性のパッチの利用可能性を発表しました。これは2026年で悪用が明らかになった6番目のSD-WAN欠陥です。
新しいSD-WANゼロデイはCVE-2026-20182として追跡されており、シスコは特別に細工されたパケットを介して遠隔攻撃者が対象システムの管理者権限を獲得できるようにする認証バイパス脆弱性として説明しています。
この脆弱性は、Cisco Catalyst SD-WANコントローラー(旧SD-WAN vSmart)およびCisco Catalyst SD-WANマネージャー(旧SD-WAN vManage)のピアリング認証メカニズムに影響します。
シスコは5月にアクティブな悪用を認識したと述べており、同社のTalos脅威インテリジェンスおよび研究グループは、CVE-2026-20182がUAT-8616として追跡する脅威アクターによる限定的な攻撃で悪用されたように見えることを明らかにしました。
UAT-8616はTalos研究者により高度に洗練されたグループとして説明されていますが、その動機と特定の国または既知のグループへの潜在的なつながりは明らかにされていません。
同じ脅威アクターは以前、CVE-2026-20127を悪用してSD-WANシステムへの不正アクセスを獲得しました。
「UAT-8616はSSHキーを追加し、NETCONF設定を変更し、ルート権限にエスカレートしようとしました。当社の調査結果は、UAT-8616が悪用と侵害後のアクティビティを実施するために使用するインフラストラクチャが、Talosが密接に監視している運用リレーボックス(ORB)ネットワークと重複することを示しています」とTalosは説明しました。
Rapid7はCiscoへのCVE-2026-20182の報告が評価されています。3月9日にベンダーと技術詳細を共有したサイバーセキュリティ企業は、CVE-2026-20127の分析中にこの脆弱性を発見し、それらが同じコンポーネントに影響する異なる欠陥であることを指摘しました。
Rapid7は木曜日に脆弱性の詳細を公開し、シスコは企業が潜在的な攻撃を検出するのを支援するための侵害指標(IoC)を利用可能にしました。
CISAはCVE-2026-20182をKEVカタログに追加し、連邦機関に3日以内にそれに対処するよう指示しました。
KEVリストは現在、15個のCisco SD-WAN脆弱性を含み、そのうち5個は今年発見されました。CVE-2026-20182に加えて、他の欠陥はCVE-2026-20128、CVE-2026-20122、CVE-2026-20133、およびCVE-2026-20127として追跡されています。
古いSD-WAN脆弱性であるCVE-2022-20775も、CVE-2026-20127と並んで、今年実際に悪用されたものとしてフラグが立てられました。
Cisco Talosは木曜日、暗号通貨マイナー、認証情報スティーラー、バックドア、ウェブシェル、その他のマルウェアとハッキングツールを配信するためにSD-WAN脆弱性を悪用する10個のアクティビティクラスターを説明しました。
翻訳元: https://www.securityweek.com/cisco-patches-another-sd-wan-zero-day-the-sixth-exploited-in-2026/
