米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)から新たに発行された緊急指令により、攻撃者が米国連邦ネットワーク全域で使用されているCisco Catalyst SD-WAN インフラストラクチャの脆弱性を積極的に悪用しているとの警告が出されました。
緊急指令26-03として知られるこの指令は、連邦機関に対し、影響を受けたシステムを緊急に特定し、フォレンジック証拠を収集し、セキュリティアップデートを適用し、潜在的な侵害を調査するよう命じています。
警告の焦点は、CVE-2026-20127として追跡されている欠陥で、CVSS深刻度スコアが10の重大な認証バイパス脆弱性として説明されています。セキュリティ関係者によると、このバグは認証されていない攻撃者がSD-WAN インフラストラクチャへの管理者アクセスを取得することを許す可能性があるとのことです。
そのようなアクセスは、脅威アクターがネットワーク構成を操作したり、政府システム全体のトラフィックを中断したりすることを可能にする可能性があります。影響を受けたテクノロジーは、分散されたエンタープライズネットワークを管理するために広く使用されており、悪用が成功した場合、攻撃者に重要な通信インフラストラクチャに対する広範な制御を許す可能性があります。
機関は証拠収集とシステムのパッチ適用を命じられる
連邦機関はこの指令の下で一連の行動を実行する必要があります:
-
すべての影響を受けたCisco SD-WAN システムを特定し、インベントリをCISAに提出する
-
ログを外部に保存するようデバイスを構成し、フォレンジック成果物を収集する
-
リストされた脆弱性に対応するベンダーセキュリティアップデートを適用する
-
侵害の証拠を追跡し、ルートアクセスが検出された場合はインフラストラクチャを再構築する
-
2026年3月23日までの複数の期限までに、修復およびログ記録アクションをCISAに報告する
エンタープライズネットワークセキュリティについて詳しく読む:ゼロデイ攻撃がエンタープライズソフトウェアで過去最高に達しており、Googleが警告
この指令はまた、機関にCISAのクラウドログ集約ウェアハウスプログラムを通じてログデータを提供することを要求しており、調査官はネットワーク全体のアクティビティを分析できます。要件は、機関によって直接操作されるIT環境と、その代わりにサードパーティプロバイダーによってホストされている環境を含む、連邦民間行政部門のシステムに適用されます。
指令は悪用の継続的な調査を示唆している
セキュリティスペシャリストは、成果物収集と集中化されたログ記録に対する指令の強調が、調査官が脆弱性がどの程度広く使用されている可能性があるかを判断するために取り組んでいることを示唆していると述べています。
「CISAは、これらの脆弱性が政府システムとネットワークを侵害するために脅威アクターによって悪用されており、おそらく引き続き悪用されているという明確な理由を持っています」とProCircularの攻撃的運営ディレクターであるBobby Kuzmaは述べました。「成果物収集と提出の要求により、彼らは脅威の範囲を特定するために取り組んでいることは明確です。
「請負業者と民間組織は同様の収集手順に従うことは必要とされたり要求されたりしていませんが、あなたの環境にCisco SD-WAN アプライアンスがある場合、これは成果物を収集し、パッチステータスとログを確認するのに良い時間です」とKuzmaは付け加えました。
政府システムに対する重大なサイバーセキュリティ脅威が特定された場合、連邦機関はCISAが発行した緊急指令に準拠することが法律で要求されています。
画像提供:PJ McDonnell / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/cisa-cisco-sd-wan-flaws-directive/
