Five Eyes サイバーセキュリティ機関は、重大な Cisco SD-WAN 脆弱性が積極的に悪用されており、直ちにパッチを適用すべきであることを警告しています。
Five Eyes 同盟全体のサイバーセキュリティ機関は、緊急指令を発行し、重大な Cisco SD-WAN 脆弱性が連邦ネットワークへの不正アクセスを取得するために積極的に悪用されていることを警告しています。
当局者は、脅威行為者が政府およびエンタープライズネットワーク全体のトラフィックを管理するインフラストラクチャである SD-WAN コントロールシステムのコアをターゲットにしていることを確認し、組織に影響を受けたデバイスを直ちにパッチを適用するよう促しています。
Cisco の Talos 脅威インテリジェンスグループは、攻撃者が Cisco Catalyst SD-WAN コントローラーに影響する以前に未知の脆弱性を悪用していることを開示し、CVE-2026-20127 として追跡されています。この欠陥により、認証されていない攻撃者が認証制御をバイパスし、脆弱な SD-WAN コントロールプレーンコンポーネントへの管理者レベルのアクセスを取得することができます。
Talos は、このアクティビティが UAT-8616 として追跡される脅威クラスターに関連していることを述べており、証拠は悪用が 2023 年まで遡る可能性があることを示唆しています。悪用に成功すると、攻撃者はコントローラーからデバイスへの通信を操作し、ネットワーク構成を変更し、エンタープライズ環境内に永続的なアクセスを確立する可能性があります。
攻撃者が積極的な悪用を試みている
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のサイバーセキュリティ担当エグゼクティブアシスタント部長の Nick Andersen 氏は、メディアブリーフィング中に、脅威行為者が脆弱性の悪用を通じて連邦ネットワークへのアクセスと潜在的な侵害を試みていることを述べ、どの機関が影響を受けたかについては特定しませんでした。
彼は、アクティビティが増加しているように見えることについても警告しました。「脅威行為者の行動と彼らがターゲットにしている攻撃表面の拡大の両方における体積的な増加を引き続き観察しています」と Andersen 氏は述べ、CISA は脆弱性の修復の初期段階にあると付け加えました。「これは私たちが目にした広範なアクティビティであり、SD-WAN およびその他のテクノロジーを活用しようとする攻撃者の継続的なコミットメントはこの分野内で進化し続けています。」
Andersen 氏は、CISA は現在、このアクティビティを特定の脅威行為者に属するとは見ていないと述べました。
利用可能なソフトウェア更新
SD-WAN コントローラーは、ブランチオフィスやクラウド環境を含むエンタープライズネットワーク全体のトラフィックをオーケストレーションする中心的な役割を担っています。コントローラーレベルでの侵害は、攻撃者に組織のネットワークインフラストラクチャの大部分の広範な可視性と制御を提供する可能性があります。
別のセキュリティアドバイザリーで、Cisco は脆弱性を確認し、それに対処するためのソフトウェア更新をリリースしました。同社によると、欠陥は SD-WAN ピアリングプロセス内の認証リクエストの検証が不十分であることに起因しています。特別に細工されたトラフィックを送信する攻撃者は、システムへの不正アクセスを取得し、内部インターフェースと相互作用することができます。
Cisco は、脆弱性に対する回避策がないと述べ、顧客に利用可能なパッチを直ちに適用するよう促しました。同社はまた、システムログのレビュー、コントローラーの整合性の検証、および可能な限り追加のハードニング対策の実装を推奨しました。
CISA および他の Five Eyes 機関は、Cisco SD-WAN システムを運用している組織に対し、パッチの展開を優先し、悪用がすでに発生したかどうかを判断するための徹底的な侵害評価を実施するよう促しています。
CISA および執筆機関は、ネットワークディフェンダーに以下の手順を直ちに実行することを強く促しています:
- インベントリ対象範囲内のすべての Cisco SD-WAN システム。
- アーティファクトを収集し、SD-WAN システムの仮想スナップショットとログを含める。
- パッチ Cisco SD-WAN システムを適用、CVE-2026-20127 および CVE-2022-20775 を含む。
- 捜査侵害の証拠。
- 実装 Cisco の Catalyst SD-WAN ハードニングガイドに概説されているとおり、彼らのブログをレビュー。
CISA の緊張の中での開示
この開示は、ネットワークインフラストラクチャセキュリティの強化された精査が続く中で行われています。また、CISA が人員削減に直面し、進行中のホームランドセキュリティ省の停止に関連する制約の下で運営され、限定的なリソースを管理している脅威活動が高まっている時期でもあります。
しかし、CISA の Andersen 氏は、進行中の数週間のホームランドセキュリティ省の停止にもかかわらず、「CISA は悪意のあるサイバー脅威から連邦ネットワークを保護することに完全にコミットしています」と述べました。
緊急指令は連邦民間機関に対して強制力を持ち、重大で直接的な脅威をもたらす脆弱性のために予約されています。この命令は具体的に政府ネットワークに適用されますが、CISA は、重大な脆弱性が野生で悪用されている場合、民間部門の組織に類似した修復タイムラインに従うことをよく促しています。
制御プレーンターゲットへのシフト
Talos、Cisco、および政府機関からの協調開示は、攻撃者の優先事項の継続的なシフトを強調しています。エンドポイントまたはユーザー向けのアプリケーションのみをターゲットにするのではなく、洗練されたグループは、戦略的なネットワークアクセスを提供する SD-WAN、ファイアウォール、およびアイデンティティシステムなどの制御プレーンテクノロジーをますます追求しています。
SD-WAN インフラストラクチャを侵害することは高い運用上のレバレッジをもたらすことができます。コントローラーは分散環境全体のルーティング、ポリシー実行、およびデバイス認証を管理するため、特権アクセスを持つ攻撃者はトラフィックフローを中断し、通信をリダイレクトするか、またはその位置を使用してクラウドおよびオンプレミスの資産に側方移動することができます。
開示はまた、脆弱性の発見とパッチの展開の間のリスク窓に関する長年の懸念を強化しています。この場合、Talos は悪用活動が公開開示に先立つ相当な期間に遡る可能性があることを示し、攻撃者が顧客がそれを認識する前に欠陥を活用することができたことを示唆しています。
