複数の脆弱性が連鎖的に悪用され、システムへのアクセス権拡大が試みられています。
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は火曜日、Cisco Catalyst SD-WAN製品ラインのゼロデイ脆弱性を既知悪用脆弱性(KEV)カタログに追加しました。
この脆弱性はCVE-2026-20245として追跡されており、攻撃者がrootとして任意のコマンドを実行できる可能性があります。深刻度スコアは7.8で、標的システムに対するコマンドインジェクション攻撃を可能にするおそれがあります。
Ciscoは木曜日、エッジデバイスへの設定変更を目的として本脆弱性が限定的に悪用されたケースを確認したと発表しました。同社によると、脆弱性を悪用するには、攻撃者が対象システムにおいてネットワーク管理者権限を有している必要があるとのことです。
こうした攻撃を実行するには、攻撃者が有効な認証情報を保有しているか、事前にCVE-2026-20182またはCVE-2026-20127を悪用しておく必要があります。
脅威の深刻化
CiscoはCVE-2026-20182を5月に公開しました。この認証バイパス脆弱性の深刻度スコアはスケール上で最高値となる10です。
Rapid7の研究者らはCybersecurity Diveに対し、今回の活動がSD-WAN製品で見られる典型的な悪用パターンに合致すると語りました。
「認証バイパスは表玄関のようなものです。脅威アクターが一度突破すれば、追加の脆弱性を連鎖的に悪用してシステムへのアクセスをさらに深めていきます」とRapid7のシニアセキュリティリサーチャー、Jonah Burgess氏は述べています。
Cisco Talosの研究者らは、5月の脅威活動をUAT-8616として追跡されているクラスターと関連付けました。
CISAは5月に更新版のアドバイザリを発行し、Cisco SD-WAN製品における脆弱性の悪用が継続的な問題となっていることを指摘しました。同機関は、脅威アクターがCVE-2026-20127を利用して初期アクセスを取得した後、CVE-2022-20775を使って権限を昇格させ、Cisco SD-WANシステムへの長期的な持続性を確立していると警告しています。
CISAは別の連邦機関と連携し、4月以降のCVE-2026-20182悪用の証拠を確認しました。
Ciscoは金曜日、CVE-2026-20182への対応として修正済みソフトウェア(5月リリース)へのアップグレードを顧客に呼びかけました。新たに公開された脆弱性CVE-2026-20245については、現在もパッチの開発が進められています。
翻訳元: https://www.cybersecuritydive.com/news/cisa-zero-day-cisco-catalyst-vulnerabilities/822494/
