Cisco Software Defined Wide-Area Networkingシステムを対象とした攻撃の波が起きている中で、セキュリティチームはこのアプリケーションに対する別の重要な脅威を見落としている可能性があると、脆弱性研究企業VulnCheckが金曜日にリリースしたレポートで述べています。
研究者らは、Cisco SD-WANの注視されているゼロデイ脆弱性であるCVE-2026-20127が、攻撃の唯一の主要ターゲットではない可能性があると警告しています。VulnCheckの研究者らは、より差し迫った脅威は、不十分なファイルシステムアクセス制限に関連する高深刻度の脆弱性であるCVE-2026-20133である可能性があると述べています。
「セキュリティコミュニティはCVE-2026-20127に狭く焦点を当てすぎている可能性があり、他のSD-WAN脆弱性も顕著なリスクをもたらす可能性があり、誤った帰属のPoC攻撃と不完全な検出のために見落とされる可能性があります」とVulnCheckのセキュリティ研究副社長Caitlin CondonはCybersecurity Diveに述べました。
これらの脅威はセキュリティコミュニティの多くの間で優先事項と見なされており、サイバーセキュリティおよびインフラストラクチャセキュリティ庁が2月25日に緊急指令を発令し、連邦行政府機関にCisco SD-WAN Managerシステムの評価とパッチを適用するための即座の措置を講じるよう命じました。
Cisco Talosの研究者は、2月25日のレポートで、UAT-8616として追跡される脅威行為者が2023年までさかのぼる悪用活動に従事していると警告しました。Cisco Talosは、脅威行為者がCisco Catalyst SD-WAN Controllerの脆弱性であるCVE-2026-20127、および認証済みのローカル攻撃者が特権を昇格させることを可能にするCVE-2022-20775をターゲットにしていたと述べました。
Cisco Talosによると、CVE-2026-20127の成功した悪用により、攻撃者はターゲットシステムの認証をバイパスして管理特権を取得できます。
VulnCheckは、3月初旬に、ZeroZenX Labsが3月3日にProof of Conceptをリリースした後、複数のセキュリティ企業が野生での悪用を報告したと述べました。同社は、このProof of Conceptが実際にはCVE-2026-20127を悪用せず、他のいくつかの脆弱性を悪用したと付け加えました。
VulnCheckは悪用をテストして有効であることを発見しましたが、影響を受けた他の3つの脆弱性を特定しました。これらはCVE-2026-20133を含みます。これはCisco SD-WANのData Collection Agentの脆弱性であり、CVE-2026-20128およびCVE-2026-20122として追跡されています。
Defusedの研究者はVulnCheckの発見を見て、複数の面で悪用が行われていることに同意しました。
「その意味では、当社のデータはVulnCheckのフレーミングをサポートしています。20127は広く流布されたPoCで大量の自動ノイズを生成していますが、20133の活動が存在する場合、はるかに静かなフットプリントを持っています」とDefusedの創業者兼CEOであるSimo KohonenはCybersecurity Diveに述べました。
Ciscoは今月初めに、後者の2つの欠陥の活動的な悪用を反映するためにその勧告を更新しました。
Ciscoのスポークスパーソンはすぐには利用できず、CISAのスポークスパーソンも利用できませんでした。
翻訳元: https://www.cybersecuritydive.com/news/security-teams-wider-threat-cisco-sd-wan/814934/
