Cisco Catalyst SD-WAN Managerに存在する0-day権限昇格脆弱性(CVE-2026-20245)が攻撃者に悪用されており、Ciscoはいまだパッチをリリースしていません。
「この脆弱性を悪用するには、攻撃者が対象システムでnetadmin権限を持っている必要があります。そのためには有効な認証情報の入手、またはCVE-2026-20182もしくはCVE-2026-20127の悪用が必要です。Ciscoは、それ以外の手法による悪用成功を確認していません」と同社は木曜日に発表しました。
また、「この脆弱性の悪用によってエッジデバイスへの設定変更が行われた事例が限定的に確認された」とも述べています。
CVE-2026-20245の概要
CVE-2026-20245は、Cisco Catalyst SD-WAN ManagerのコマンドラインインターフェイスCLIに影響する脆弱性で、ユーザー入力の検証が不十分であることに起因しています。
認証済みのローカル攻撃者は、細工したファイルを対象システムにアップロードすることで本脆弱性を悪用でき、最終的にrootとして任意のコマンドを実行することが可能です。
前述のとおり、攻撃者はまずデバイスへの認証済みアクセスを取得する必要があります。その手段としては、例えば2026年5月にゼロデイとして悪用が確認されたCVE-2026-20182や、2023年以降「非常に高度な」脅威アクターが悪用しているCVE-2026-20127といった別の脆弱性の利用が挙げられます。
CVE-2026-20245は、オンプレミス、Cloud-Pro、Cloud(Cisco管理)、Government(FedRAMP)を含む、すべてのCisco SD-WAN導入形態に影響します。
対策と調査
Ciscoは脆弱性の報告者としてMandiantを称え、悪用の痕跡を示す可能性がある侵害の指標(特定のログエントリ)を公開しています。
Ciscoは現在CVE-2026-20245のパッチ提供に向けた作業を進めており、現時点で利用可能な回避策はありません。
同社は現時点での推奨事項として、CVE-2026-20182アドバイザリに記載されている修正済みソフトウェアへのアップグレードと、エッジデバイスの設定確認を呼びかけています。
(CiscoはCVE-2026-20245がこれら2つの認証バイパス脆弱性と組み合わせて悪用されているとは明言していませんが、その可能性が高いと見られます。)
「侵害の指標を保全するため、アップグレード前にSD-WAN展開内の各コントロールコンポーネントからrequest admin-techコマンドを実行してください。admin-techファイルの収集後は、できるだけ早くソフトウェアをアップグレードしてください」とCiscoは付け加えています。
「ログに侵害の指標が示され、システムへの侵害が確認された場合、ソフトウェアアップデートの適用だけでは脆弱性は解消されません。そのような場合は、Cisco Technical Assistance Center(TAC)が提供する具体的な復旧手順に従って、システムのセキュリティを確保してください。」
翻訳元: https://www.helpnetsecurity.com/2026/06/05/cisco-sd-wan-cve-2026-20245-0-day-exploited/
