セキュリティ
当時すでにアップデートを適用済みなら問題ありません。ただし、ログはしっかり確認しておくことをお勧めします
シスコは2月に公開したセキュリティアドバイザリを更新し、最大深刻度の脆弱性CVE-2026-20127の影響を受ける製品リストに新たな機器を追加しました。
シスコは火曜日の夜、元のアドバイザリに小幅な修正を加え、旧称vBondであるCisco Catalyst SD-WAN Validatorも攻撃者が侵害可能な機器の一つであることを明記しました。
数ヶ月前にCVE-2026-20127(CVSS 10.0)を巡って大きな騒ぎがあったことを覚えている読者もいるかと思います。この不正認証の脆弱性(管理者権限昇格)により、攻撃者が脆弱なすべてのインスタンスに対して永続的なrootアクセスを取得できることが判明し、ファイブアイズによる警告が発令されました。
西側諸国のネットワークにおけるシスコのSD-WAN製品の普及度を考えると、スパイ活動の機会を生み出しかねない、到底容認できない状況です。
シスコは当時、攻撃者がCVE-2026-20127を悪用して管理者権限を取得し、NETCONFへアクセスしてSD-WANファブリックを再設定した後、2022年9月に発見されたパストラバーサルの脆弱性CVE-2022-20775(CVSS 7.8)を利用してroot権限を取得できると説明していました。
シスコの脅威インテリジェンス部門であるCisco Talosは、この脆弱性が発見されるまでの間、最長3年にわたって悪用されていた可能性があると指摘しました。
Talosは、この悪用活動をUAT-8616として追跡するグループに帰属させており、研究者の推定によると同グループの活動は少なくとも2023年にまで遡るとされています。UAT-8616が特定の国家や個人グループに正式に帰属されたことはありませんが、専門家はこのグループが重要インフラ分野を標的にしてきた高度に洗練された組織であると指摘しています。
英国国家サイバーセキュリティセンター(NCSC-UK)のCTO、オリー・ホワイトハウス氏は当時こう述べていました。「今回の新たな警告は、Cisco Catalyst SD-WAN製品を使用している組織がネットワーク侵害へのエクスポージャーを緊急に調査し、国際パートナーと共同作成した新しい脅威ハンティングのアドバイスを活用して悪意ある活動を探索し、侵害の証拠を特定すべきであることを明確にしています。
「英国の組織は、侵害についてNCSCに報告するとともに、悪用リスクを軽減するため、できる限り早急にベンダーの更新プログラムとセキュリティ強化ガイダンスを適用することを強くお勧めします。」
The Registerはシスコに詳細を問い合わせましたが、即時の回答は得られませんでした。
2月に最初のアドバイザリが公開された際、SD-WAN ControllerとSD-WAN Managerだけでなく、すべてのシステムにわたってソフトウェアを修正済みバージョンにアップグレードしていれば、新たな対応は不要です。
今回の更新は、シスコがCatalyst SD-WAN に影響する別のゼロデイ脆弱性を開示した数週間後のことで、発見時点で少なくとも1週間にわたって悪用されていたとみられています。
CVE-2026-20245として追跡されているこの脆弱性は、今年開示された6件目のSD-WAN脆弱性であり、ここ数ヶ月で2件目のゼロデイ悪用事例となります。®
