Ciscoは、 Cisco Catalyst SD-WAN Manager(旧称:SD-WAN vManage)において、認証済みのローカル攻撃者が任意のコマンドをroot権限で実行できる高深刻度の権限昇格脆弱性CVE-2026-20245(CVSS 7.8)を公開しました。
この脆弱性はアドバイザリID「cisco-sa-sdwan-privesc-4uxFrdzx」およびバグID「CSCwu18563」として管理されており、Cisco Catalyst SD-WAN ManagerのCLIに存在します。根本原因はCWE-116(出力の不適切なエンコードまたはエスケープ)に分類されるユーザー入力の検証不足です。
攻撃者は細工したファイルをシステムにアップロードすることで、コマンドインジェクションを引き起こし、rootユーザーへの権限昇格を実現できるとCiscoは説明しています。
Ciscoによると、実際の環境において悪用が成功し、SD-WAN エッジデバイスに対して不正な設定変更が加えられた事例が限定的ながら確認されています。
CVE-2026-20245を悪用するには、攻撃者が有効な認証情報を持つか、関連する2つの脆弱性を連鎖させることで、対象システム上のnetadmin権限を事前に取得する必要があります。
1つ目のCVE-2026-20127(CVSS 10.0)は、最大深刻度の認証バイパス脆弱性です。未認証のリモート攻撃者がSD-WAN Controllerへ細工したリクエストを送信するだけで、高い権限の内部アクセスを取得できます。
2つ目のCVE-2026-20182(CVSS 10.0)も、SD-WAN Controllerのvdaemonサービス(DTLS/UDPポート12346)に存在するクリティカルな認証バイパス脆弱性です。攻撃者が制御するSSHキーをvmanage-adminアカウントに注入し、コントロールプレーンへの持続的なNETCONFアクセスを確立します。
Cisco Talosが追跡する高度な脅威アクター「UAT-8616」が、CVE-2026-20127およびCVE-2026-20182の両方を実際の攻撃で悪用していることが確認されており、CVE-2026-20127の悪用は少なくとも2023年まで遡ることが判明しています。
組織は直ちに/var/log/scripts.logを調査し、以下のパターンに類似するエントリが記録されていないか確認してください。
また、防御担当者はSD-WAN Controllerの認証ログを精査し、未知または未承認のIPアドレスを発信元とする「Accepted publickey for vmanage-admin」を含むエントリがないか確認することを推奨します。これはCVE-2026-20182の悪用に関連する主要なIoCです。
これらのログエントリは正規のコマンドを反映したものであるため、Ciscoによると、すべての検出結果は誤検知を排除するために、既知のメンテナンス時間帯、承認済みIPアドレス範囲、および通常のSD-WANトポロジーと照合して確認する必要があります。
現時点では、パッチも回避策も提供されていません。Ciscoは将来のリリースでこの脆弱性に対処する予定です。それまでの間、組織は以下の対策を講じてください。
インターネットに公開されたCisco Catalyst SD-WAN Managerを運用している組織は、悪用が実際に確認されていることを踏まえ、本件を優先度の高いインシデントとして対応してください。
翻訳元: https://cyberpress.org/cisco-sd-wan-flaw-exploited/
