TokyoBlackHatNews

bleepingcomputer.com 5分で読了

Cisco、未修正のSD-WANゼロデイ脆弱性が攻撃に悪用されていると警告

Image

Ciscoは木曜日、Cisco Catalyst SD-WAN Manager(CVE-2026-20245として追跡)に存在する深刻度の高い未修正のゼロデイ脆弱性について警告を発しました。この脆弱性は、root権限への昇格を可能にする攻撃にすでに積極的に悪用されています。

このゼロデイ脆弱性は、オンプレミス展開、Cisco SD-WAN Cloud-Pro、Cisco SD-WAN Cloud(Cisco Managed)、Cisco SD-WAN for Government(FedRAMP)など、すべての展開タイプに影響します。

木曜日に公開されたアドバイザリで、Ciscoはこの問題がユーザー入力の検証が不十分であることに起因すると説明しています。低権限を持つローカルの攻撃者が、rootとして任意のコマンドを実行できる可能性があります。

「攻撃者は、細工したファイルを対象システムにアップロードすることでこの脆弱性を悪用できます。悪用に成功した場合、攻撃者は対象システムに対してコマンドインジェクション攻撃を実行し、rootユーザーとして権限を昇格させることが可能です」と同社は説明しています

「この脆弱性を悪用するには、攻撃者が対象システムでnetadmin権限を持っている必要があります。そのためには有効な認証情報が必要か、CVE-2026-20182またはCVE-2026-20127の悪用が前提となります。Ciscoはその他の方法による悪用成功を把握していません」と同社は付け加えました。「Ciscoはその他の方法による悪用成功を把握していません。この脆弱性の悪用がエッジデバイスへの設定変更として反映された事例が限定的に確認されています」とも述べています。

かつてSD-WAN vManageとして知られていたこのネットワーク管理ソフトウェアは、管理者が最大6,000台のCatalyst SD-WANデバイスを単一のダッシュボードから監視・管理できるよう設計されています。

CiscoのProduct Security Incident Response Team(PSIRT)は、Googleクラウドのサイバーセキュリティ子会社であるMandiantがこの脆弱性を報告したことを受け、6月にCVE-2026-20245が悪用されていることを把握しましたが、詳細は公表されていません。

ただし、Ciscoは侵害の痕跡(IOC)を公開し、管理者に対してSD-WANの /var/log/scripts.log ファイルを確認するよう呼びかけています。正規のコマンドを通じた権限昇格を目的として、vSmartコントローラーにテナント設定データをアップロードしようとした痕跡が以下の例のように記録されていないか確認してください。

Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0

「Cisco Catalyst SD-WAN Managerが侵害されたかどうかの確認に支援が必要な場合は、Cisco TACにケースを開設してください」と同社は付け加え、管理者にはまずレビューに役立つadmin-techファイルを生成するよう推奨しています。

セキュリティパッチは未リリース

先月、Ciscoは最大深刻度のCatalyst SD-WAN Controllerにおける認証バイパス脆弱性(CVE-2026-20182)についても、未修正のデバイスで管理者権限を取得するゼロデイとして積極的に悪用されていると指定しました

CiscoはまだCVE-2026-20245のパッチをリリースしていませんが、5月14日にCVE-2026-20182向けに修正済みのソフトウェアへのアップグレードを顧客に推奨しています。

2月には、Ciscoが別のCatalyst SD-WAN Managerにおける情報漏えい脆弱性(CVE-2026-20133)にパッチを適用しており、CISAは4月下旬にこれが積極的に悪用されていると指定しました。さらにその2週間後には、さらに2件の脆弱性(CVE-2026-20128およびCVE-2026-20122)も実際の攻撃に悪用されていると警告が発せられました。

3月には、少なくとも2023年以降ゼロデイ攻撃で悪用されてきた重大な認証バイパス脆弱性(CVE-2026-20127)にも対処し、警告を発しました。

ここ数年で、CISAは90件のCisco脆弱性を実際の攻撃に悪用されたものとして指定しており、そのうち4件はCisco Catalyst SD-WAN Managerに関するもの、また別の6件はランサムウェア攻撃グループによって悪用されたものです。

攻撃者より先に、あらゆるレイヤーをテスト

セキュリティチームが記録できている攻撃成功は54%、アラートを発令できているのはわずか14%です。残りの攻撃は検知されることなく環境内を移動しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMおよびEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を解説しています。

ホワイトペーパーをダウンロード

翻訳元: https://www.bleepingcomputer.com/news/security/new-cisco-sd-wan-flaw-exploited-in-zero-day-attacks-to-gain-root/

ソース: bleepingcomputer.com
#Catalyst SD-WAN Manager #CISA #Cisco #CVE-2026-20245 #Mandiant #SD-WAN #コマンドインジェクション #ゼロデイ脆弱性 #未修正脆弱性 #権限昇格

関連記事

Brave Software、余計な機能を省いた有料ブラウザ「Origin」を公開

Hola BrowserのWindows版がサプライチェーン攻撃を受け、暗号通貨マイナーを配布

クレジットカード窃取キャンペーン、Stripeを悪用して盗んだ決済情報を保管