Catalyst脅威の台頭
Ciscoは先ごろ、ソフトウェア定義ネットワーク(SD-WAN)管理アーキテクチャに関する緊急アドバイザリを公開しました。具体的には、Catalyst SD-WAN Managerプラットフォームに存在する新たな脆弱性が攻撃者によって積極的に悪用されています。現時点では、公式の修正プログラムは一切提供されていません。そのため、これらのオーケストレーションシステムをインターネットに公開している企業は、甚大な運用リスクにさらされている状況です。
影響範囲と深刻度
この脆弱性の正式識別子はCVE-2026-20245で、CVSSスコアは7.8(高)に評価されています。この構造的な欠陥は、オンプレミス展開のほかCisco SD-WAN Cloud-Pro環境にも影響を及ぼします。クラウド管理型のバリアントや、政府機関向けローカル展開版(Cisco SD-WAN for Government)も同様に対象となっています。
権限昇格の仕組み
この脆弱性の根本原因は、Catalyst SD-WAN ManagerのCLI(コマンドラインインターフェース)に存在します。なお、このフレームワークはSD-WAN vManageとして知られていたものです。標準的なnetadmin権限を持つオペレーターが、巧妙に細工されたファイルをアップロードするだけで、システムはそのファイルを処理し、完全なroot権限で任意のコマンドを実行してしまいます。この深刻な欠陥は、ユーザー入力データの検証が不十分であることに起因します。攻撃者は悪意あるペイロードを注入することで、最高レベルの権限へと昇格させることが可能です。
エクスプロイトチェーンと関連する脆弱性
CVE-2026-20245を悪用するためには、有効なnetadminの認証情報が必要です。攻撃者はこれを、認証情報の窃取や別のエクスプロイトチェーンを通じて入手することができます。とりわけ、脅威アクターはこの脆弱性をCVE-2026-20182またはCVE-2026-20127と組み合わせて悪用するケースが多く見られます。現時点では、その他の侵入手法は確認されていません。
ゼロデイ脆弱性の連鎖
2026年5月に公開されたCVE-2026-20182は、CVSSスコアが最高値の10.0を記録する緊急度の高い脆弱性です。この欠陥により、認証されていないリモートの攻撃者が脆弱なハードウェアを完全に掌握できてしまいます。また、これと密接に関連するCVE-2026-20127も同じコアモジュールに影響を与えます。いずれの脆弱性も、過去にゼロデイとして活発に悪用されていた実績があります。なお、CVE-2026-20127の攻撃活動は「UAT-8616」と呼ばれる高度な脅威グループによるものと、セキュリティチームは分析しています。Ciscoのテレメトリデータによると、同グループは2023年から当該脆弱性を悪用しているとされています。
実害と防御対策
Ciscoは最近、CVE-2026-20245によってエッジデバイスの設定が改ざんされた事例を複数確認しています。ただし、これらの攻撃キャンペーンを主導した攻撃者の正確な身元は依然として不明です。有効な修正プログラムが存在しない現状では、管理者は直ちに防御策を講じる必要があります。まず、基盤となるSD-WANソフトウェアスイートを最新バージョンに更新してください。次に、CVE-2026-20182向けの5月14日付パッチが適用済みであることを確認してください。さらに、ローカルの/var/log/scripts.logファイルを入念に調査し、侵害の痕跡を確認することが重要です。テナントリスト、vSmartシリアル割り当て、またはシャーシ番号に関連する不審なスクリプト実行が検出された場合は、直ちに隔離措置を取ってください。
組織的な悪用のパターン
注目すべき点として、CVE-2026-20245は2026年に実際に悪用されたCisco SD-WAN脆弱性としては7件目となります。これまでに確認されているのは、CVE-2026-20182、CVE-2026-20127、CVE-2026-20122、CVE-2026-20128、CVE-2026-20133、CVE-2022-20775です。また、Ciscoは最近、Unified Communications Managerに存在する別の脆弱性CVE-2026-20230も修正しました。この脆弱性については実証済みの概念実証(PoC)エクスプロイトが公開されていますが、現時点では実際の悪用事例は確認されていません。
翻訳元: https://meterpreter.org/cisco-sd-wan-manager-exploit/
