Cisco Catalyst SD-WAN Controller の脆弱性が管理者アクセス目的で積極的に悪用されている

Ciscoは、既に野外で悪用されている Catalyst SD-WAN プラットフォームの重大な脆弱性を公表しました。この脆弱性により、攻撃者は認証なしでエンタープライズネットワークの管理制御を獲得できます。

重大なSD-WAN欠陥が攻撃を受けている

CVE-2026-20182として追跡されるこの脆弱性は、最大CVSS スコア10.0を持ち、Cisco Catalyst SD-WAN Controller（vSmart）およびSD-WAN Manager（vManage）に影響します。

2026年5月14日にリリースされたCiscoのアドバイザリによると、この欠陥により、リモートの認証されていない攻撃者が認証をバイパスし、影響を受けたシステムへの高い権限のアクセスを獲得できます。

Ciscoの製品セキュリティインシデント対応チーム（PSIRT）が確認した限定的な積極的な悪用により、これはSD-WAN環境を実行している組織にとって高優先度の脅威となります。

この問題は、制御プレーンのピアリングメカニズムの不適切な認証（CWE-287）に起因しています。攻撃者は特別に細工されたリクエストを送信して、信頼できるデバイスになりすまし、不正な接続を確立できます。

Rapid7からの技術分析によると、脆弱性は「vdaemon」サービスに存在し、このサービスはUDPポート12346を介したDTLSベースのコントロールプレーン通信を処理します。このサービスはSD-WAN ファブリックに参加するデバイスを認証します。

認証ハンドシェイク処理中に、システムはデバイスタイプに基づいてピアを検証します。ただし、論理的な欠陥により、攻撃者は自分自身を「vHub」デバイスタイプとして宣言でき、すべての証明書検証チェックをバイパスできます。

その結果：

• システムが攻撃者を認証済みとしてマークします。
• 悪意のあるピアがアクティブ（「UP」）状態に遷移します。
• 完全なコントロールプレーン通信がアクセス可能になります。

認証されると、攻撃者は二次機能を悪用して、自分たちのSSH公開鍵をvmanage-adminアカウントに注入できます。これにより、認証情報なしで永続的なアクセスが作成されます。

例えば、攻撃者は次のことができます：

• 偽のDTLSセッションを確立します。
• 細工されたCHALLENGE_ACKメッセージを送信します。
• SSH鍵をauthorized_keysファイルに注入します。
• NETCONF（TCPポート830）経由で権限のあるユーザーとしてログインします。
• SD-WAN ファブリック全体で任意の設定コマンドを実行します。

これにより、攻撃者はインフラストラクチャ全体のルーティング、ポリシー、ネットワークセグメンテーションを操作する能力が与えられます。

Cisco Catalyst SD-WAN Controller は、分散環境全体でルーティングとポリシー決定を管理する中央制御プレーンとして機能します。このレベルでの侵害は広範な結果をもたらす可能性があります。

成功した悪用により、攻撃者は以下のことが可能になります：

• 接続されたすべてのサイト全体でネットワーク設定を変更します。
• 機密トラフィックをインターセプトまたはリルートします。
• 永続的なバックドアアクセスを確立します。
• エンタープライズの接続または運用を中断します。

SD-WAN展開はしばしばクラウド、オンプレミス、および政府環境にまたがるため、攻撃面は広くなります。Ciscoは、クラウド、クラウド・プロ、およびFedRAMP環境を含むすべての展開タイプが影響を受けることを確認しました。

侵害の兆候

Ciscoは潜在的な侵害を検出するのに役立つガイダンスを提供しています。1つの重要な指標は疑わしいSSHログエントリです。

セキュリティチームは、/var/log/auth.log にあるauth.logファイルを監視して、以下のようなエントリを探す必要があります：

• 未知のIPアドレスからの「Accepted publickey for vmanage-admin」。

これらのIPは、SD-WAN Manager インターフェイスで設定されている既知のシステムIPと相互参照される必要があります。

その他の兆候は以下のとおりです：

• 予期しないコントロールプレーンピアリングイベント。
• 認識されていない公開IPアドレスからの接続。
• メンテナンスウィンドウ外の不規則なタイムスタンプ。
• 疑わしいデバイスタイプまたは一致しないシステムIP。

管理者は「show control connections detail」などのコマンドを使用して制御接続を検査し、チャレンジ確認応答の欠落などの異常を探すようにアドバイスされています。

影響を受けるバージョンとパッチ

この脆弱性は、設定に関わらず、すべてのCisco Catalyst SD-WAN ControllerおよびManager展開に影響します。利用可能な回避方法はありません。

Ciscoは固定ソフトウェアバージョンをリリースし、直ちのアップグレードを強く促しています。古いまたはサポートされていないリリースを使用している組織は特に危険にさらされており、サポートされているバージョンに移行する必要があります。

アップデートを適用する前に、Ciscoは「request admin-tech」コマンドを使用してフォレンジックデータを収集し、潜在的な侵害の証拠を保存することをお勧めします。

組織は直ちに以下の措置を講じるべきです：

• 最新の固定SD-WANソフトウェアにアップグレードします。
• 認証およびコントロールプレーンログを監査します。
• SD-WAN コントローラーのインターネット露出を制限します。
• すべてのコントロールプレーンピア接続を検証します。
• 侵害が疑われる場合はCisco TAC に連絡します。

脆弱性を発見したRapid7研究者のStephen FewerとJonah Burgessは、この脆弱性は2026年初めに開示された以前に悪用されたCisco SD-WAN問題とは異なるものの、同様のコンポーネントに影響することに注意しました。

積極的な悪用がすでに観察され、利用可能な回避方法がないため、この脆弱性はCisco SD-WAN インフラストラクチャに依存するエンタープライズネットワークに極めて重大なリスクをもたらします。ネットワーク全体の乗っ取りを防ぐには、直ちのパッチ適用と徹底的な侵害評価が必須です。