シスコの顧客は、2月下旬以降、ベンダーのネットワークエッジソフトウェアに影響を与える積極的に悪用されている脆弱性の大量流出に直面しており、研究者らは、シスコが過去3週間でファイアウォールおよびSD-WANシステムで開示した9つの脆弱性のうち5つが既に実環境で悪用されていると述べています。
攻撃者はこれらの欠陥のペア—シスコSD-WANのゼロデイ脆弱性—を少なくとも3年間悪用していました。その後、ベンダーと当局がこの脅威を発見し、警告を発令するまでの間です。シスコは同じ日に追加の5つのSD-WAN脆弱性を開示しており、それらの欠陥のうち3つも積極的に悪用されていることが確認されています。
シスコのセキュリティ製品に潜む弱点はそれだけではありません。アマゾン脅威インテリジェンスは水曜日に、今月初めにシスコが報告したファイアウォール管理ソフトウェアの最大重度の2つの欠陥のうちの1つが、1月26日以来、Interlockランサムウェアによって積極的に悪用されていることが、これらの脆弱性が公開されてから1ヶ月以上前から行われていることを述べました。
より多くの欠陥が攻撃対象となる中、一部の組織、当局、セキュリティコミュニティのメンバーは、拡大する危険を見逃しています。シスコSD-WANおよびファイアウォール脆弱性の数々には、低いCVSSスコアを持つ欠陥、ゼロデイ、および開示後に積極的に悪用されていることが判明した他の欠陥が含まれています。
「これらは低価値のソフトウェアにおけるランダムなバグではありません。これらはネットワークエッジのデバイス内の管理プレーンおよび制御プレーンの弱点であり、企業環境ではしばしば信頼アンカーとして機能します」とRapid7の脆弱性インテリジェンス責任者であるDouglas McKeeはCyberScoopに語りました。
「SD-WANまたはファイアウォール管理が侵害されると、ポリシー、可視性、ルーティング、セグメンテーション、そして多くの場合、環境全体にわたる管理信頼に直結します」と彼は追加しました。「攻撃者はそれを知っており、これらのシステムへの認証前パスを見つけた時に、特にそれがrootに連鎖する可能性がある場合、それは非常に魅力的です。」
これらのシステムに影響を与える最近開示されたシスコ脆弱性の完全なリストは以下の通りです:
- SD-WAN脆弱性:CVE-2026-20127、CVE-2022-20775、CVE-2026-20122、CVE-2026-20126、CVE-2026-20128、CVE-2026-20129およびCVE-2026-20133
- シスコセキュアファイアウォール管理センターソフトウェアの脆弱性:CVE-2026-20079およびCVE-2026-20131
複数の企業およびシスコの研究者は、CVE-2026-20127、CVE-2022-20775、CVE-2026-20122、CVE-2026-20128およびCVE-2026-20131の積極的な悪用を観察または通知されています。
サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は、これまでのところ、CVE-2022-20775およびCVE-2026-20127の2つの欠陥のみを既知の悪用脆弱性カタログに追加しています。同庁は先週、2月下旬にこれらの欠陥について発令した緊急指令に新しい捜索および報告要件を追加しましたが、更新された命令についての質問に答えず、他の積極的に悪用されているシスコの脆弱性がカタログに追加されていない理由も説明しませんでした。同庁は2月以来、資金シャットダウンの下で運営されています。
Interlockランサムウェアがシスコファイアウォールを襲撃
アマゾン脅威インテリジェンスが発見したCVE-2026-20131に関連する継続中のランサムウェアキャンペーンは、「Interlockはゼロデイを手中にしており、防御者が見つけることを知る前に組織を侵害するための1週間のヘッドスタートを得た」ことを確認した、と研究者は水曜日に述べました。
Interlockの観察された攻撃パスと運用は広範囲です。侵害後の偵察スクリプト、カスタムリモートアクセストロジャン、ウェブシェル、および正当なツールの悪用を含みます。Amazonは具体的な犠牲者を特定していません。同グループが組織をデータ暗号化、規制罰金、およびコンプライアンス評価で脅迫していることを述べました。
「Interlockは歴史的に、運用上の中断が支払いのための最大の圧力を生み出す特定のセクターをターゲットにしてきました」とAmazon脅威インテリジェンスの研究者はブログ投稿で述べました。これらのセクターには、教育、エンジニアリング、建築、建設、製造、産業、医療、および政府機関が含まれます。
4つのシスコSD-WAN欠陥が攻撃下
シスコSD-WANの脆弱性のスワームは、顧客に追加のリスクをもたらします。シスコTalosは以前、CVE-2026-20127およびCVE-2022-20775を含む長期実行された攻撃をUAT-8616に属する可能性があると述べていますが、同じ脅威グループがすべてのシスコSD-WAN悪用に責任があるかどうかは明確ではありません。
「他の脅威グループは、公開研究を機会的に武器化または適応させるために拾い上げる可能性があります。そのため、スキルが低い攻撃者を含む、追加の脅威アクターによる後続の試みが見られるかもしれません」と、VulnCheckのセキュリティリサーチ副社長であるCaitlin Condonはこう述べました。
研究者は、シスコのSD-WANシステムなどの特定の製品で意味のある欠陥が識別された後、脆弱性はしばしばクラスターで開示されると述べました。
シスコは質問への回答を拒否し、顧客がセキュリティ勧告ページで最新情報を見つけることができると述べました。
CondonとMcKeeは両方とも、シスコがソフトウェア修正、脅威捜索インテリジェンスをリリースする際に対応的であること、およびSD-WANゼロデイの場合、調整された政府ガイダンスに対応的であることを述べました。
「これは、悪用が特定された後、良い危機対応がどのように見えるべきかです」とMcKeeは述べました。
「より難しい質問は、業界が洗練されたアクターが明らかに優先順位を付けているエッジ管理ソフトウェアの欠陥に対して、十分に早い可視性を得ているかどうかです」と彼は追加しました。「私たちの組織はこのレベルのエクスポージャー管理を実行するための適切な人材とツールを備えていますか?」
シスコの顧客がファイアウォールとSD-WANで対抗している拡大する悪用は、組織が悪名高くない脆弱性や低いCVSSスコアを持つものを優先度を下げるべきではないことを思い出させます、とCondonは述べました。
「このシスコSD-WANバグの一括処理で悪用されている脆弱性のいくつかは重大なCVSSスコアを持っていません。つまり、CVSSを優先順位付けメカニズムとして使用するチームは、まだ実世界の敵ユーティリティを持つ中程度から高いスコアの欠陥を見逃す可能性があります」と彼女は追加しました。
攻撃はまた、集合的に、シスコを含む複数のベンダーからネットワークエッジシステムをターゲットにする攻撃者の永続的なパターンを反映しています。
「攻撃者はネットワークエッジと管理インフラストラクチャを優良物件として扱い続けています。防御者が事前認証、開示前の悪用の証拠を伴う管理プレーンの欠陥を見た場合、彼らはただの暴露ではなく、侵害を想定する必要があります」とMcKeeは述べました。
「攻撃者は、報酬が莫大であるため、シスコエッジおよび管理インフラストラクチャの以前不明な欠陥を見つけて運用化するために時間と能力に投資しています」と彼は追加しました。「これらのプラットフォームは、特権的な位置、幅広い可視性、高価値組織内の永続的なアクセスへのパスを提供します。それが彼らが繰り返し襲撃される理由です。」
翻訳元: https://cyberscoop.com/cisco-firewall-sd-wan-vulnerabilities-exploited/
