ファイブアイズ情報同盟は、攻撃に使用されているシスコ・カタリスト SD-WAN の2つの脆弱性にパッチを適用するよう、防御側に緊急の警告を発しています。
オーストラリア通信局(ASD)によって最初に発見され、同盟の5つの情報機関すべてが水曜夜の警告に署名し、正体不明のハッカーが SD-WAN デバイスを永続的なアクセスのために使用しようとしていることを確認しました。
「悪意のあるサイバー脅迫アクターが、世界中の組織で使用されているシスコ・カタリスト SD-WAN を標的にしています」とイギリスの NCSC は述べています。「これらのアクターは SD-WAN を侵害して悪意のある不正なピアを追加し、その後、ルートアクセスを獲得し SD-WAN への永続的なアクセスを維持するための一連のフォローアップアクションを実行します。」
2つのうち最初のものは CVE-2022-20775 (7.8) で、2022年9月に開示されたパストラバーサル脆弱性で、SD-WAN のコマンドラインインターフェースに影響を与え、権限昇格を許可します。
2番目は CVE-2026-20127 (10.0) で、今週発表されたばかりの最高重大度のバグです。不正な認証フローとして分類されており、この問題はシスコ・カタリスト SD-WAN コントローラーとシスコ・カタリスト SD-WAN マネージャーに影響を与えます。これらは以前それぞれ SD-WAN vSmart と SD-WAN vManage として知られていました。
後者は、完璧な 10 CVSS スコアのためだけでなく、正常に悪用されるとハッカーに管理者権限を付与するため、重大であると思われます。Cisco は、サイバー犯罪者が NETCONF にもアクセスし、自分の思い通りに SD-WAN ファブリックを再構成できる可能性があると述べています。
Cisco Talos からの別の報告によると、ベンダーは CVE-2026-20127 を使用する攻撃を UAT-8616 として追跡するグループに帰属させ、現在の兆候は少なくとも 2023 年から悪用されていることを示していると述べています。
当然のことながら、情報機関も Cisco も、報告されている悪用されている脆弱性に関する正確な詳細を明かしていません。
しかし、Talos のレポートは、攻撃者がルートアクセスを取得できるようにするために CVE-2022-20775 を使用して SD-WAN のソフトウェアバージョンをダウングレードする前に、CVE-2026-20127 が最初に管理者権限を取得するために悪用されたことを示唆しています。
Talos は UAT-8616 の背後にいる人物や国について詳細な情報は提供していませんが、それを「高度に洗練されたサイバー脅威アクター」として説明しています。
2つの脆弱性を悪用して、非公開の数の攻撃が既に実行されています。被害者の詳細は限定的ですが、Talos は標的がおそらく高価値で機密性の高いセクターにあったことを示唆しています。
「UAT-8616 の悪用の試みは、高価値の組織(重要インフラセクターを含む)への永続的な足がかりを確立しようとするサイバー脅威アクターによる ネットワークエッジデバイスの標的化の継続的な傾向を示しています。」と述べています。
防御側は、まず侵害の兆候を見つけるために、ファイブアイズのHunt ガイド [PDF] に従うことを強く勧められています。検索結果が陽性の場合は、データを関連するセキュリティ当局と共有し、最新バージョンの Cisco Catalyst SD-WAN コントローラー/マネージャーにアップグレードしてください。
NCSC CTO Ollie Whitehouse は、「我々の新しい警告は、Cisco Catalyst SD-WAN 製品を使用している組織が、ネットワーク侵害への暴露を緊急に調査し、国際的パートナーと協力して作成された新しい脅威ハンティングアドバイスを利用して、侵害の証拠を特定し、悪意のあるアクティビティを探すべきであることを明確にしています。」と述べました。
「イギリスの組織は、侵害を NCSC に報告し、悪用のリスクを軽減するために、できるだけ早くベンダーアップデートと強化ガイダンスを適用することを強く勧められています。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/26/five_eyes_cisco_sdwan/
