CiscoがゼロデイAttacksで悪用されたSD-WAN vManageの脆弱性を修正

Ciscoは、Catalyst SD-WAN Managerの脆弱性（CVE-2026-20262）に対処するセキュリティアップデートをリリースしました。この脆弱性は、root権限への昇格を目的とした攻撃で実際に悪用されていました。

旧称SD-WAN vManageとして知られるこのネットワーク管理ソフトウェアは、管理者が単一のダッシュボードから最大6,000台のSD-WANデバイスを管理できるものです。

今回パッチが適用されたゼロデイの脆弱性は、オンプレミス環境、Cisco SD-WAN Cloud-Pro、Cisco SD-WAN Cloud（Cisco管理）、Cisco SD-WAN for Government（FedRAMP）など、デバイス構成に関わらずすべてのデプロイメントタイプに影響します。

Ciscoによると、この問題はファイルアップロード時におけるユーザー入力の検証が不十分なことに起因しています。低権限のリモート攻撃者が影響を受けるAPIエンドポイントに細工したHTTPリクエストを送信することで、root権限で任意のコマンドを実行できる可能性があります。

「旧称SD-WAN vManageであるCisco Catalyst SD-WAN ManagerのWeb UIに存在する脆弱性により、認証済みのリモート攻撃者が影響を受けるシステムのファイルシステム上にファイルを作成したり、任意のファイルを上書きしたりできる可能性があります」とCiscoは月曜日に公開したアドバイザリで述べています。

「攻撃者は影響を受けるシステムの該当するAPIエンドポイントに細工したHTTPリクエストを送信することで、この脆弱性を悪用できます。悪用に成功した場合、攻撃者は基盤となるオペレーティングシステム上の任意のファイルを作成または上書きすることが可能です。このファイルはその後、root権限への昇格に利用される可能性があります。」

Ciscoは、同社のProduct Security Incident Response Team（PSIRT）が今月初旬にCVE-2026-20262の悪用を把握しており、顧客に対してシステムへのパッチ適用を「強く」勧告していると述べています。

同社は今回の攻撃の詳細については明らかにしていないものの、侵害の指標（IOC）を公開し、管理者に対してSD-WAN vmanage-server、vmanage-appserver、serviceproxy-accessの各ログを確認し、index.jspおよび.warファイルのアップロード試行がないかチェックするよう警告しています。

2月にはCiscoが別のCatalyst SD-WAN Managerの情報漏洩に関する脆弱性（CVE-2026-20133）にパッチを適用しており、4月下旬には積極的に悪用されていることが確認されました。さらにその2週間後には、実際に悪用されていた2件の脆弱性（CVE-2026-20128およびCVE-2026-20122）についても警告が発せられています。

先月には、パッチ未適用のデバイスで管理者権限を取得するためにゼロデイとして積極的に悪用されていた、Catalyst SD-WAN Controllerの最高深刻度の認証バイパス脆弱性（CVE-2026-20182）についても警告しています。

さらに最近では、6月初旬にCiscoが未パッチのCatalyst SD-WAN Managerのゼロデイ脆弱性（CVE-2026-20245）について警告を発しています。この脆弱性は攻撃者がroot権限を取得できるもので、実際の攻撃での悪用が確認されています。

過去数年間で、米サイバーセキュリティ・インフラセキュリティ庁（CISA）はCiscoの脆弱性91件を実際に悪用されたものとして登録しており、そのうち5件はCisco Catalyst SD-WAN Manager、また6件はランサムウェア攻撃での悪用が確認されています。