Ciscoの Catalyst SD-WAN プラットフォームの最大重要度のゼロデイ脆弱性が現在、野生で積極的に悪用されており、攻撃者はエンタープライズネットワークの完全な管理制御を得ることができ、認証情報を必要としません。
CVE-2026-20182として追跡され、完璧なCVSSスコア10.0を持つこの脆弱性は、Cisco Catalyst SD-WAN Controller (vSmart)とSD-WAN Manager (vManage)に影響を与えます。
2026年5月14日に発表されたCiscoの勧告は、リモートの認証されていない攻撃者が認証を完全にバイパスでき、影響を受けたシステムへの高い権限を持つアクセスを獲得できることを確認しています。
根本原因は、コントロールプレーンのピアリングメカニズムにおける不正な認証フロー(CWE-287)です。
具体的には、脆弱性は「vdaemon」サービスに存在し、UDP ポート12346上のDTLSベースのコントロールプレーン通信を処理します。
認証ハンドシェイク中に、サービスはデバイスタイプに基づいてピアを検証しますが、ロジックの欠陥により、攻撃者は自分自身を「vHub」デバイスとして虚偽で宣言することができ、すべての証明書検証チェックを完全にバイパスしています。
それが発生すると、システムは攻撃者を認証済みとしてマークし、悪意のあるピアをアクティブな「UP」状態に遷移させ、完全なコントロールプレーンアクセスを開きます。
これにより、攻撃者はルーティングを変更し、ポリシーを操作し、機密トラフィックを再ルートし、永続的なバックドアアクセスを確立する能力を得ることができ、パスワードを知る必要がありません。
Cisco Catalyst SD-WAN Controllerは、分散したエンタープライズ環境の中央コントロールプレーンとして機能します。ここでの侵害はすべての接続サイトに波及します。
Ciscoは、Cloud、Cloud-Pro、FedRAMP環境を含むすべてのデプロイメントタイプが影響を受けることを確認しており、攻撃面が異常に広くなっています。
セキュリティチームは、認識されていないIPアドレスからの「Accepted publickey for vmanage-admin」を示すエントリについて、直ちに/var/log/auth.logを監査する必要があります。
追加の危険信号には、予期しないコントロールプレーンピアリングイベント、未知のパブリックIPからの接続、およびコントロール接続ログの疑わしいデバイスタイプが含まれます。
コマンドshow control connections detailは異常を検出するのに役立ちます。
利用可能な回避策はありません。Ciscoは修正済みソフトウェアバージョンをリリースし、直ちのアップグレードを促しています。パッチを適用する前に、管理者はフォレンジック証拠を保存するためにrequest admin-techを実行する必要があります。
組織はまた、SD-WAN コントローラーのインターネット向けの露出を制限し、侵害が疑われる場合はCisco TACに連絡する必要があります。
翻訳元: https://cyberpress.org/cisco-sd-wan-0-day-exploited/
