Ciscoは、同社のProduct Security Incident Response Team(PSIRT)が攻撃者による悪用を確認したCatalyst SD-WAN Managerの新たな脆弱性(CVE-2026-20262)を公開しました。
ただし、関連するセキュリティアドバイザリには「この脆弱性は内部セキュリティテスト中に発見された」とも記されており、Ciscoが公式に開示する前に攻撃者がどのようにして悪用するに至ったのかという疑問が生じています。
脆弱性の詳細(CVE-2026-20262)
Cisco Catalyst SD-WAN Manager(旧称:SD-WAN vManage)は、CiscoのSD-WANファブリック全体を管理するコントロールプレーンです。
CVE-2026-20262は、当該ソリューションのWebユーザーインターフェースに存在するパストラバーサルの脆弱性であり、影響を受けるシステムのAPIエンドポイントに細工されたHTTPリクエストを送信することで悪用が可能です。
「悪用に成功した場合、攻撃者は基盤となるオペレーティングシステム上の任意のファイルを作成または上書きできます。このファイルを利用して、その後rootへの権限昇格が可能になります。この脆弱性を悪用するには、少なくとも書き込みアクセス権を持つ有効な認証情報が必要です」とCiscoは説明しています。
CVE-2026-20245と同様に、CVE-2026-20262もユーザー入力の検証が不十分であることに起因しており、オンプレミス、Cloud-Pro、Cloud(Cisco管理)、政府向け(FedRAMP)を含む、すべてのCatalyst SD-WAN Managerの展開タイプに影響します。
Ciscoが約2週間前にCVE-2026-20245を開示した時点では、パッチの開発がまだ進行中でした。その後、6月12日までにすべての修正済みソフトウェアバージョンがリリースされました。
CVE-2026-20262の修正を含むCisco Catalyst SD-WANのリリース一覧は、CVE-2026-20245の修正を含むリリース一覧と同一です。Ciscoが両脆弱性の修正を並行して進めていたのか、あるいはCVE-2026-20245の修正がCVE-2026-20262の穴も偶然ふさぐ形になったのかは、現時点では不明です。
Help Net Securityはパッチの詳細および脆弱性発見の経緯についてCiscoに問い合わせており、回答が得られ次第、本記事を更新する予定です。
侵害の痕跡と対処方法
Ciscoは、修正済みソフトウェアリリースへのアップグレードを顧客に推奨しています。
インターネットにCisco Catalyst SD-WAN Managerのシステムやポートを公開している場合は、アドバイザリに記載された具体的な侵害の痕跡(IoC)をログファイルで確認することができます。
侵害の痕跡によると、攻撃者はCVE-2026-20262を悪用して拡張子が.warの悪意のあるファイルを設置し、vManageのWildFly JavaアプリケーションサーバーがそれをWebサーバー経由でアクセス可能なJava Webアプリケーションとしてデプロイするという手口が確認されています。
攻撃者はPOSTリクエストを通じてコマンドを送信し、このWebアプリケーションと通信していることが確認されています。
Ciscoは、特定のログエントリがすべてのインシデントログに必ずしも記録されるとは限らないと指摘しつつも、それらが存在する場合は「初期侵害後に攻撃者が悪意のあるコードを展開してそれと通信するなど、何が可能かについての手がかりを提供する」と説明しています。
Cisco SD-WANへの継続的な攻撃
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は月曜日、CVE-2026-20262を既知の悪用脆弱性(KEV)カタログに追加し、米連邦政府の民間機関に対して2026年6月29日までの対応を命じました。
この14日間の修正期限は、リスクに基づいてセキュリティアップデートを優先することを各機関に命じるCISAの新しい拘束的運用指令(Binding Operational Directive)の要件と一致しています。
今年初めから、Ciscoはゼロデイまたはnデイとして攻撃者に悪用されているCatalyst SD-WAN Managerの複数の脆弱性に対する修正をリリースしています。
- 前述のCVE-2026-20245(権限昇格を可能にする脆弱性)
- CVE-2026-20182(認証バイパスの脆弱性)
- CVE-2026-20133、CVE-2026-20128およびCVE-2026-20122(情報漏えい2件と任意ファイル上書き1件)
- CVE-2026-20127(認証バイパスの脆弱性)
これらすべての脆弱性が同一の脅威グループによって悪用されているかどうかは現時点では不明ですが、このプラットフォームへの持続的かつ組織的な攻撃は、CiscoのSD-WANアーキテクチャへの深い知識を持つ執拗な攻撃者の存在を示唆しています。
翻訳元: https://www.helpnetsecurity.com/2026/06/16/cisco-sd-wan-cve-2026-20262-exploited/
