シスコSD-WANマネージャーの脆弱性が積極的に悪用されている

シスコは、攻撃者が同社のCatalyst SD-WANマネージャープラットフォームに影響を与える複数の脆弱性を積極的に悪用していることを警告しています。

このソフトウェアは、大規模な分散SD-WAN環境を監視・管理するための集中管理コンソールとして機能します。

これらの脆弱性は「…攻撃者が影響を受けたシステムにアクセスし、特権をrootに昇格させ、機密情報にアクセスし、任意のファイルを上書きできる可能性がある」と、シスコは述べています。

Cisco SD-WANマネージャーの脆弱性について

Catalyst SD-WANマネージャーは、管理者に統一されたプラットフォームを提供することで、大規模な分散SD-WAN環境を監視、設定、管理し、多くのエンタープライズネットワーク環境で中心的な役割を果たしています。

このプラットフォームはSD-WAN環境のコントロールプレーンとして機能するため、ネットワークトポロジー、デバイス設定、トラフィックルーティングポリシーに対する広い可視性を持っています。

攻撃者がSD-WAN管理システムを侵害することができた場合、ルーティングポリシーを操作し、ネットワークアクティビティを監視し、信頼されたネットワークインフラストラクチャに悪意のあるデバイスを導入する可能性があります。

このレベルのアクセスにより、脅威アクターは合法的なインフラストラクチャのように見えながら、エンタープライズネットワーク内での存在を静かに拡大することができます。

現在悪用されている脆弱性には、高重大度の任意ファイル上書き脆弱性であるCVE-2026-20122と、中程度の重大度の情報開示脆弱性であるCVE-2026-20128が含まれます。

どちらの脆弱性もSD-WANマネージャープラットフォームに影響を与え、より広い攻撃チェーンの一部として使用される可能性があります。

この任意ファイル上書き脆弱性は、APIアクセス権限を持つ有効な読み取り専用認証情報を既に保持している攻撃者によってリモートから悪用される可能性があります。

この脆弱性を悪用することで、攻撃者はシステム上のファイルを上書きし、システム動作を変更したり、設定を変更したり、環境内での追加の悪意のある活動を有効にしたりすることができます。

2番目の脆弱性であるCVE-2026-20128は、攻撃者がターゲットのSD-WANマネージャーシステムに対して有効なローカル認証情報を持つことが必要です。

悪用された場合、この脆弱性により攻撃者はプラットフォーム内に保存されている機密情報（システム設定の詳細や運用データなど）を取得できる可能性があります。

どちらの脆弱性も認証されたアクセスが必要ですが、脅威アクターはフィッシングキャンペーン、認証情報スタッフィング、または以前に侵害されたシステムを通じて認証情報を取得できるため、リスクが存在します。

シスコは、公開時点で両方の脆弱性が野生で積極的に悪用されていることを確認しました。

この開示は、少なくとも2023年以来の攻撃で悪用されている重大な認証バイパス脆弱性であるCVE-2026-20127に関する別の最近の開示に続きます。

その脆弱性により、攻撃者はSD-WANコントローラーを侵害し、ターゲットネットワークに不正なピアを導入することができました。

これらの不正なピアはネットワークファブリック内で合法的なSD-WANデバイスとして表示され、攻撃者が永続性を確立し、トラフィックをインターセプトし、侵害された環境深くへ進むことを可能にします。

シスコはこれらの脆弱性のパッチをリリースしています。

Cisco Catalyst SD-WANマネージャーを使用している組織は、これらの脆弱性に関連するリスクを低減するための積極的なステップを取るべきです。

最新のソフトウェアアップデートを適用することが問題を修復する最も効果的な方法ですが、追加のセキュリティ制御により保護をさらに強化することができます。

脆弱性を修復するため、Catalyst SD-WANマネージャーを最新のパッチ適用済みバージョンにアップグレードしてください。
SD-WAN管理インターフェースへのアクセスを制限し、パブリックインターネット露出を削除し、信頼できるネットワークまたはVPN接続へのアクセスを制限してください。
強力な認証と最小権限アクセス制御を実施し、管理アカウントの多要素認証と制限されたAPI権限を含めてください。
侵害が発生した場合の横展開リスクを減らすために、専用の管理ネットワーク上でSD-WANコントローラーと管理インフラストラクチャをセグメント化してください。
悪用を示す可能性のある異常な動作について、認証ログ、APIアクティビティ、設定の変更、ネットワークトラフィックを監視してください。
不正なピアまたは疑わしいネットワーク変更を特定するために、SD-WANデバイスのインベントリとルーティング設定を定期的に監査してください。
SD-WAN侵害のシナリオを含むインシデント対応計画をテストし、プレイブックを構築してください。

これらの対策を組み合わせることで、侵害の潜在的な被害範囲を制限し、組織のSD-WANインフラストラクチャの回復力を強化するのに役立ちます。

SD-WAN脆弱性の積極的な悪用は、攻撃者が個別のエンドポイントではなく、集中管理されたネットワーク管理プラットフォームに焦点を当てるという、より広い傾向を反映しています。

これらのシステムはネットワークトポロジー、ルーティングポリシー、および接続されたデバイスに対する広い可視性を提供し、魅力的なターゲットとなります。

侵害された場合、管理プラットフォームは攻撃者がネットワークアクティビティを観察し、設定を変更し、または環境に無許可のデバイスを導入することを可能にする可能性があります。

これらのリスクは、組織が暗黙的な信頼を減らし、集中管理されたネットワーク管理システムを含む侵害の影響を制限するために設計されたゼロトラストアーキテクチャを実装する理由の1つです。