シスコは木曜日、実環境での悪用が確認されたSD-WAN製品の新たな脆弱性について顧客に通知しました。これで2026年に悪用が検出された脆弱性は7件目となります。
今回の新たな脆弱性はシスコによる修正パッチが未提供の状態で、CVE-2026-20245として追跡されており、Cisco Catalyst SD-WAN ManagerのCLI(コマンドラインインターフェース)に影響します。
認証済みのローカル攻撃者がこの脆弱性を悪用することで、細工したファイルを通じてrootとして任意のコマンドを実行できます。
「この脆弱性は、ユーザーが入力したデータの検証が不十分であることに起因します」とシスコはアドバイザリで説明しています。「攻撃者は細工したファイルを対象システムにアップロードすることでこの脆弱性を悪用できます。悪用に成功した場合、攻撃者は対象システムでコマンドインジェクション攻撃を実行し、rootユーザーとして権限を昇格させることが可能です。」
このネットワーク機器大手によると、脆弱性の悪用には対象システム上での「netadmin」権限が必要です。その権限は、漏洩した認証情報の利用や、CVE-2026-20182やCVE-2026-20127といった他のSD-WAN脆弱性の悪用によって取得できるとしています。
「シスコは他の方法による悪用成功の事例を把握していません」とベンダーは述べています。「この脆弱性の悪用によってエッジデバイスへの設定変更が行われた事例も、限定的ながら確認されています。」
CVE-2026-20182はシスコが5月中旬に修正しました。実環境での悪用が確認されたことを受けての対応です。この認証バイパスの脆弱性は、UAT-8616と特定された脅威アクターによってゼロデイとして悪用されており、同アクターは以前にもCVE-2026-20127を悪用してSD-WANシステムへの不正アクセスを行っていました。
CVE-2026-20245はMandiantからシスコに報告されました。このゼロデイを悪用した攻撃の詳細は現時点で公開されていませんが、SecurityWeekはMandiantに詳細を問い合わせています。
シスコは、自社のPSIRT(製品セキュリティインシデント対応チーム)がこの脆弱性の悪用を6月に把握したと述べており、迅速な情報公開が行われたことがうかがえます。
シスコは侵害の痕跡(IoC)を公開しています。修正パッチは今後のCatalyst SD-WAN Managerリリースに含まれる予定で、現時点で利用可能な回避策はありません。
2026年に悪用が明らかになったその他のCisco SD-WAN製品の脆弱性としては、CVE-2026-20128、CVE-2026-20122、およびCVE-2026-20133があります。また、古い脆弱性であるCVE-2022-20775も今年になって実環境での悪用が確認されています。
翻訳元: https://www.securityweek.com/cisco-warns-of-7th-sd-wan-zero-day-exploited-in-2026/
