ネットワーク管理者がCisco SD-WANパッチキューがついに減少するかもしれないと考えていたちょうどそのとき、Switchzillaは悪意のある者たちがそのSD-WAN管理ソフトウェアのより多くの脆弱性を悪用していることを確認しました。
新たに悪用されている欠陥はCisco Catalyst SD-WAN Managerに影響を与えます。このプラットフォームは以前vManageとして知られており、多くの組織のSD-WAN展開の中心に位置しています。
バグの1つであるCVE-2026-20122はCVSSスコアが7.1で、認証済みのリモート攻撃者がローカルファイルシステム上の任意のファイルを上書きすることを許可します。2番目の問題であるCVE-2026-20128は、CVSSスコアが5.5の低い評価の情報開示の欠陥で、認証済みのローカル攻撃者が影響を受けるシステムでData Collection Agent(DCA)ユーザー権限を獲得することを許可する可能性があります。
今週発行されたアドバイザリーで、Ciscoは攻撃者がすでにこれらの欠陥を悪用していることを確認しました:「2026年3月、Cisco PSIRTはCVE-2026-20128とCVE-2026-20122にのみ説明されている脆弱性の積極的な悪用を認識しました。」
このような通知の通常の形式と同様に、Ciscoはこれらの欠陥がどのように悪用されているか、または攻撃の背後に誰がいるのかについてはほとんど詳細を提供しませんでした。同社はまた、この活動が数日前に警告したサイバー悪役にリンクされているかどうかについて述べることを拒否しました。
「Ciscoは、これらの脆弱性を改善するために、顧客が修正されたソフトウェアリリースにアップグレードすることを強く推奨します」と同社は付け加えました。
この警告は、Five Eyes情報同盟の政府が、攻撃者がCiscoのCatalyst SD-WAN基盤を2つの異なる脆弱性を使用して積極的にターゲットにしていることを警告してからほぼ1週間後に来ました。
1つはCVE-2022-20775で、権限昇格につながる可能性のあるSD-WANコマンドラインインターフェースに影響する経路走査の欠陥で、もう1つはCVE-2026-20127で、Catalyst SD-WAN ControllerおよびManagerプラットフォームに影響する最大の重大度の認証問題です。
当時、イギリスの国立サイバーセキュリティセンターは、悪意のある者たちが世界中の組織によって使用されているSD-WAN展開を侵害していると述べました。
「悪意のあるサイバー脅威アクターは、世界中の組織によって使用されているCisco Catalyst SD-WANをターゲットにしている」と同庁は述べました。「これらのアクターはSD-WANを侵害して悪意のあるrogue peerを追加し、その後、ルートアクセスを達成し、SD-WANへの持続的なアクセスを維持するための一連のフォローアップアクションを実行する。」
Cisco Talosによると、後者の悪用は同社がUAT-8616として追跡しているグループにリンクされており、同社は「非常に洗練されたサイバー脅威アクター」と説明しています。Talosは、利用可能な証拠はバグが少なくとも2023年以来悪用されている可能性があることを示唆していると述べましたが、活動をどの特定の国にも帰属させませんでした。
新たに確認された悪用がそのキャンペーンに接続されているかどうかは不明のままです。Ciscoは、侵害の指標、攻撃の詳細、または帰属を提供することなく、2つの新しく開示された脆弱性が現在悪用されていると述べたのみです。
しかし、CiscoのSD-WAN機器を運用している防御者にとって、積極的な攻撃下にあるバグのリストがさらに長くなったばかりで、パッチウィンドウはさらに緊急になったばかりです。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/06/cisco_sdwan_bugs/
