シスコは、 Catalyst SD-WAN Manager に高深刻度の脆弱性が存在することを公表しました。この脆弱性はすでに実環境で積極的に悪用されており、攻撃者が影響を受けるシステム上でrootレベルの権限による任意のコマンド実行を可能にするものです。
CVE-2026-20245として追跡されているこの脆弱性は、CVSSスコア7.8と評価されており、以前はvManageとして知られていたCisco Catalyst SD-WAN ManagerのCLI(コマンドラインインターフェース)における不適切な入力検証(CWE-116)に起因しています。
シスコのセキュリティアドバイザリ(cisco-sa-sdwan-privesc-4uxFrdzx)によると、この欠陥を悪用すると、netadmin権限を持つ認証済みの攻撃者が細工したファイルをアップロードして任意のコマンドを実行し、最終的にシステム全体を掌握できるとされています。
Cisco SD-WANのセキュリティ上の欠陥
シスコのProduct Security Incident Response Team(PSIRT)は、この脆弱性がすでに限定的な実環境で悪用されていることを確認しています。確認された事例では、攻撃者がこの欠陥を利用してSD-WANエッジデバイスへ不正な設定変更を送り込んでおり、永続化やネットワーク操作を目的とした侵害後の活動が示唆されています。
この脆弱性は、ファイルのアップロードと処理の過程でユーザー提供の入力に対する検証が不十分であることに起因しており、攻撃者がroot権限で実行される悪意あるコマンドを注入することを可能にしています。
この脆弱性の悪用には認証済みアクセスが必要ですが、攻撃者は正規の認証情報を用いるか、 CVE-2026-20182 やCVE-2026-20127などほかの脆弱性と組み合わせることで必要な権限を取得できます。
これにより、攻撃者が複数の脆弱性を連鎖させて初期アクセスを取得し、エンタープライズSD-WAN環境内で権限を昇格させるという、より広範な攻撃対象領域が生まれています。
この問題は、オンプレミス環境、Cisco SD-WAN CloudおよびCloud-Pro環境、シスコ管理環境、FedRAMP認定の政府系システムを問わず、Cisco Catalyst SD-WAN Managerのすべての導入環境に影響します。
シスコは侵害の痕跡(IOC)も公開しており、組織が潜在的な悪用を検出するための手がかりとしています。セキュリティチームは、/var/log/に格納されているscripts.logファイルを確認し、予期しないファイルアップロードやコマンド実行に関する不審なエントリ、特にvconfd_script_upload_tenant_list.shなどのスクリプトへの参照がないか調べることが推奨されています。
ただしシスコは、これらのログエントリが正当な管理操作と見分けがつきにくい場合があると注意を促しており、正確な検出にはベースライン行動分析と慎重な相関分析が不可欠だとしています。
公開時点では、シスコはこの脆弱性に対処するソフトウェアパッチや回避策をまだリリースしていません。同社は、アップグレードを実施する前に、すべてのSD-WAN制御コンポーネントでrequest admin-techコマンドを使用してフォレンジックデータを直ちに収集するよう組織に推奨しています。
管理者はログを保持し、エッジデバイスの設定に不正な変更がないか監査するとともに、侵害が疑われる場合はCisco TACに連絡するよう求められています。またシスコは、今後リリースされるパッチはすでに侵害されたシステムを修復するものではなく、追加のインシデント対応措置が必要になると警告しています。
この脆弱性はMandiantによって報告されており、積極的に悪用されている欠陥の特定においてスレットインテリジェンスチームが果たす継続的な役割が改めて浮き彫りになっています。SD-WAN管理プラットフォームがエンタープライズネットワークにおいて果たす重要な役割を踏まえると、今回の問題は管理インターフェースのセキュリティ確保、厳格なアクセス制御の徹底、そして異常なアクティビティの継続的な監視がいかに重要であるかを示しています。
翻訳元: https://gbhackers.com/cisco-sd-wan-security-flaw/
