3月にインシデント対応者が発見したバグをめぐり、連邦機関は日曜日までにCisco SD-WANシステムの新しい重大な脆弱性にパッチを当てる必要があります。
米国サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)は、CVE-2026-20182は2月に国際的な警告を引き起こした以前のキャンペーンに関連する重大な脆弱性であると述べました。
Ciscoは木曜日に脆弱性のパッチをリリースし、勧告において「認証されていないリモート攻撃者が認証をバイパスし、影響を受けたシステムに対する管理者権限を取得することができる」と述べています。
同社は、このバグが最大の10点中10点の深刻度スコアを持ち、今月の悪用が確認されたと述べています。
CISAは自身の通知の中で、連邦機関はCiscoがリリースしたパッチを適用するだけでなく、2月に発行された追加ガイダンスに従う必要があると述べており、それは緊急指令でした。その指令は、すべての機関にネットワーク内のすべてのCisco SD-WANシステムを特定し、ログを収集し、侵害の証拠を追跡し、すべての情報を数日以内にCISAに提供するよう命じました。
CISAは、CISAに送信する必要がある情報の新しい期限についてコメント要請に応じていません。
Rapid7のインシデント対応者は、以前のバグを調査する際にこの脆弱性を発見しました。以前のバグは類似していましたが、ネットワークスタックの別の部分に位置していました。Rapid7の脆弱性インテリジェンスディレクターであるダグラス・マッキーは、ブログ投稿で、この脆弱性は「マスターキーのように機能する」と述べています。
「攻撃者はコントローラーに信頼されたネットワークルーターとして身を装うことができ、システムがそれを適切に検証せずに受け入れた場合、最高レベルの管理アクセスを取得することができます」と彼は述べました。
「これはサイバーセキュリティ版のジェダイマインドトリックです。コントローラーは、信頼すべき理由がないものを信頼するよう実質的に指示されており、攻撃者が手を振って『これらはあなたが探しているドロイドではない』と言ったかのようです。そしてCVE-2026-20182では、コントローラーはうなずいてそれらを通すだけです。」
2月にCISAが発行した緊急指令は、Five Eyes情報同盟のサイバーセキュリティ機関と調整されました。すべての機関は、「高度な脅威行為者」がCiscoネットワーク機器の欠陥を積極的に悪用していると緊急に警告しました。
マッキーは彼のブログ投稿で、2月のバグと同様に、CVE-2026-20182は国家レベルの行為者が被害者ネットワークに事前配置するのに「理想的」であると指摘しました。
「彼らは通常、迅速な盗難を探していません。彼らは永続性を求めています。彼らは背景に溶け込むアクセスを求めています。彼らは機が熟するまで、観察し、影響を与え、ピボットするのに十分な長さの期間、正しい場所に留まりたいのです」とマッキーは書きました。「SD-WANコントローラーはそれに最適な場所です。ほとんどの組織が疑問視することのない信頼関係の中間に位置しているためです。」
翻訳元: https://therecord.media/cisa-orders-all-federal-agencies-to-patch-cisco-sd-wan-bug
