英国、米国、カナダ、オーストラリア、ニュージーランドの政府セキュリティ機関は、2023年以来悪用されているSD-WAN機器の致命的なゼロデイバグにパッチを当てるため、Ciscoの顧客に直ちに対応するよう呼びかけています。
CVE-2026-20127は、Cisco Catalyst SD-WAN Controller(旧SD-WAN vSmart)およびCisco Catalyst SD-WAN Manager(旧SD-WAN vManage)のピアリング認証における認証回避脆弱性です。
Ciscoによると、認証されていないリモートの攻撃者が認証をバイパスし、影響を受けるシステムの管理者権限を取得することができます。最大CVSS スコアは10.0です。
「この脆弱性は、影響を受けるシステムのピアリング認証メカニズムが正しく動作していないために存在します。攻撃者は、細工されたリクエストを影響を受けるシステムに送信することでこの脆弱性を悪用する可能性があります。」とCisco勧告に記載されています。
「攻撃が成功した場合、攻撃者はCisco Catalyst SD-WAN Controllerに内部の高権限の非root ユーザーアカウントとしてログインできます。このアカウントを使用して、攻撃者はNETCONFにアクセスでき、これによってSD-WAN ファブリックのネットワーク設定を操作できます。」
ゼロデイ悪用について詳しく読む:ゼロデイ悪用が急増、開示前に攻撃される脆弱性が約30%に。
複数のFive Eyesセキュリティ機関が発行した詳細な「脅威ハント」ガイドによると、高度な脅威アクターはレガシーローカル権限昇格脆弱性CVE-2022-20775を悪用するために、ターゲットシステムをより古いバージョンにダウングレードした可能性があります。その後、ルートアクセスを獲得するために、元のソフトウェアバージョンに復元しました。
顧客は、2022年の従来のバグと、Ciscoが昨日修正をリリースした新しいゼロデイ脆弱性の両方にパッチを当てることを求められています。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、すべての連邦機関が脆弱性を2026年2月27日午後5時ET までに発見してパッチを当てることを要求する緊急指令を発行しました。
「国際パートナーとの協力とCISAの法医学的分析に基づいて、これらの脆弱性が悪用される可能性の容易さは、すべての連邦機関から直ちに対応することを求めています。」とCISA代理委員長のMadhu Gottumukkalaは述べています。
「我々は、すべての機関にこの緊急指令に記載されている措置を遅延なく実施することを呼びかけます。」
脆弱なSD-WAN導入を保護するための即座の対策
Cisco Catalyst SD-WAN製品は、支店、データセンター、クラウド間の接続を簡素化し、保護します。
英国国立サイバーセキュリティセンター(NCSC)によると、脅威アクターは「SD-WAN を侵害して悪意のあるなりすまし用ピアを追加し、その後、ルートアクセスを取得し、SD-WANへの永続的なアクセスを維持するための一連のフォローアップアクションを実行しています」。
このような方法で悪意のあるデバイスを追加することで、ターゲットのネットワークインフラストラクチャに静かに侵入できます。
NCSCは、影響を受けた組織に対して、順番に以下の手順を実行することを呼びかけています:
- ハントガイドに記載されている侵害の証拠について脅威ハントを実行する
- 侵害の可能性が高い場合は、デバイスからアーティファクトを収集し、NCSCに報告してください(英国の組織向け)
- Cisco Catalyst SD-WAN Manager およびCisco Catalyst SD-WAN Controller の最新バージョンに更新してください(各勧告に記載されているとおり)
- Cisco Catalyst SD-WAN強化ガイドを適用してください
- 継続的な脅威ハント活動を実行してください
強化ガイドは、ネットワーク周辺制御、SD-WAN マネージャーアクセス、制御および データプレーンセキュリティ、セッションタイムアウト、ログの手順をカバーしています。
翻訳元: https://www.infosecurity-magazine.com/news/immediate-patch-cisco-catalyst/
