Catalyst SD-WANの認証バイパスバグ(CVE-2026-20182)は、リモート攻撃者に管理者アクセスを与え、対処方法がありません。
Ciscoは、Catalyst SD-WAN ControllerおよびCatalyst SD-WAN Managerプラットフォームに影響する最大重大度の認証バイパス脆弱性を開示し、この脆弱性がすでに実際に悪用されていることが確認されたと警告しました。
この開示は、Ciscoが2月にパッチした以前の認証バイパス脆弱性に続いています。最新の勧告で、同社は新しい脆弱性が以前に開示された問題の調査中に特定されたと述べました。
「Cisco Catalyst SD-WAN Controller(旧称SD-WAN vSmart)およびCisco Catalyst SD-WAN Manager(旧称SD-WAN vManage)のピアリング認証の脆弱性により、認証されていないリモート攻撃者が認証をバイパスし、影響を受けるシステムに対する管理特権を取得できる可能性があります」とCiscoは勧告で述べました。
同社はまた、2026年5月にこの脆弱性の「限定的な悪用」を認識したことを確認しました。ただし、攻撃の詳細や関与する脅威アクターについては開示されませんでした。
ゼロデイ脆弱性はソフトウェアアップデートで修正されており、この脆弱性に対処する回避策がないため、組織にはすぐにフィックスを適用することをお勧めします。
攻撃者が管理者アクセスのための接続を作成
Ciscoによると、脆弱性はSD-WANデバイス間の制御接続を確立するために使用される認証プロセス中の不適切な検証に起因しています。攻撃者は細工された制御接続リクエストをターゲットシステムに送信することで、この問題をリモートで悪用できると述べました。
悪用に成功すると、攻撃者は認証をバイパスし、信頼できるピアとして自らを確立し、影響を受けるデバイスへの管理特権を取得できるようになります。
「悪用に成功すると、攻撃者は影響を受けたCisco Catalyst SD-WAN Controllerに内部の高い特権を持つ非rootユーザーアカウントとしてログインできる可能性があります」とCiscoは述べました。「このアカウントを使用して、攻撃者はNETCONFにアクセスでき、その後SD-WANファブリックのネットワーク構成を操作することができます。」
CVE-2026-20182として追跡されたこの問題は、CVSS 10.0の最大重大度評価を受けました。同社は、この問題は設定に依存しないと述べ、脆弱なシステムは展開固有の設定に関係なく晒されたままであることを意味しています。
Ciscoは、Rapid7の上級主要セキュリティ研究者Stephen Fewerと上級セキュリティ研究者Jonah Burgessが脆弱性を発見し報告したことに謝辞を述べました。
積極的な悪用がパッチ作成を急加速させる
Ciscoは5月の悪用の試みを認識していたことを開示し、顧客に修正リリースにすぐにアップグレードするよう促しました。
開示直後に、この脆弱性はサイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)の既知の悪用脆弱性カタログ(KEV)に追加されました。「クラウドサービスに適用可能なBOD 22-01ガイダンスを遵守するか、対策がない場合は製品の使用を中止してください」と述べられました。
米国のサイバーセキュリティ監視機関は、連邦の行政機関に5月17日までこの脆弱性をパッチするよう指定しました。
「お客様は適切な修正ソフトウェアリリースにアップグレードすることをお勧めします」とFewerとBurgessはバージョン20.9から26.1.1でこの脆弱性に対処する修正ソフトウェアリリースを引用してブログ投稿で述べました。「この脆弱性に対処する回避策はありません。」
ソフトウェアフィックスとともに、Ciscoは潜在的に悪意のある制御接続を特定するのに役立つ運用ガイダンスを公開しました。
この勧告は、管理者に「show control connections」コマンドを使用して既存の制御ピアリング関係を確認し、特にSD-WAN Managerシステムに関連するピアを含む、すべての接続されたピアを検証することを指示しました。
侵害を疑う組織は、Cisco Technical Assistance Centerサポートに連絡し、影響を受けるデバイスから診断情報を収集することをお勧めします。
