控えめなロビーアカウントの弱点がOpswat研究者の権限昇格を可能にした
広くデプロイされているCiscoのCatalyst 9300 Seriesエンタープライズスイッチには4つのセキュリティ脆弱性があり、その2つを組み合わせてサービス拒否アウトを引き起こす可能性があることが、インフラストラクチャセキュリティ企業Opswatによって明かされました。
最も運用上重要な2つはCVE-2026-20114とCVE-2026-20110であり、研究者らはこれらを組み合わせて危険な権限昇格を可能にする可能性があることを発見しました。OpswatのUnit 515 Critical Infrastructure Protection (CIP) Labはこれらを発見し、昨年7月にCiscoに報告しました。
最初の脆弱性はCatalyst WebUI Lobby Ambassadorアカウントにあり、これは管理特権を持たない非技術的スタッフがゲストWi-Fiアクセスを管理できるようにするために存在します。
これはコマンドインジェクション脆弱性(CVE-2026-20114)を持つことが判明し、研究者はわずかに高い権限レベルを持つMACベースのアカウントを作成することができました。
このアクセスにより、彼らはサニタイズ不十分によって引き起こされた2番目でより深刻な脆弱性(CVE-2026-20110)を発見し、これにより彼らはCatalyst 9300スイッチを「メンテナンスモード」に入れるのに十分な権限レベルに到達でき、その時点でトラフィック伝送が停止していました。
「この脆弱性チェーンにより、低権限ユーザーがその能力をエスカレートし、最終的にCiscoデバイス上の完全なサービス拒否状態をトリガーすることができます」とOpswatは概念実証ビデオで述べました。
Opswatはまた、2つの他のCatalyst 9300脆弱性を発見しました:CVE-2026-20112(クロスサイトスクリプティング)およびCVE-2026-20113(CRLF挿入)。これらはCatalystスイッチのクラウドエッジコンピューティング機能を有効にするIOS XE IOx統合環境に関連しています。
これらの最初のCVE-2026-20112は、「認証されたユーザーが、後で別のユーザーのセッションのコンテキストで実行される悪意のあるJavaScriptペイロードを保存できる」ユーザーによって悪用される可能性があります」とOpswatは完全な脆弱性分析で述べました。
2番目のCVE-2026-20113は、攻撃者がIOS XE IOxの任意のエクスプロイトのトラックをカバーすることを許可します:「細工されたコントロール文字を注入することにより、攻撃者はログエントリを偽造または操作でき、悪意のある活動を隠す可能性があり、監査記録の整合性を侵害します」とOpswatが述べ、これは監視、インシデント対応、およびフォレンジック分析に不可欠なロギングメカニズムの信頼性を弱めると付け加えました。
パッチ適用の優先順位
進展を遂行するには、攻撃者は最初の2つの脆弱性、CVE-2026-20114とCVE-2026-20110をチェーンする必要があり、最初のものは盗まれた認証情報を使用した認証が必要になります。
これは任意の妥協へのバーをわずかに上げますが、低権限ユーザーアカウントの認証情報の盗難は攻撃者にとって大きな障壁ではありません。
しかし、攻撃者が基本的なLobby Ambassadorアカウントから権限を昇格させてスイッチをサービス拒否状態に入れることができるという事実は、この脆弱性がもたらすリスクを強調しています。これに対する短期的な緩和策は、Lobby Ambassador機能にアクセスしているすべてのユーザーアカウントに対してMFAセキュリティがオンになっていることを確認することです。
Opswatによれば、Ciscoの年2回のパッチング周期のため、昨年7月からこの月までフローを修正するのに時間がかかりました。
「2025年8月にこれらの問題を報告して以来、Ciscoが9月周期までに調査、修復、および勧告プロセスを完了するのに十分な時間がありませんでした。その結果、発行は2026年3月の次の勧告ウィンドウに移動されました」とペネトレーションテストチームリーダーのLoc Nguyenは述べました。「私たちの知識の限りでは、これらの脆弱性が第三者によって悪用されたという証拠はありません」と彼は付け加えました。
脆弱性のある製品と修正
Ciscoは3月25日の半年ごとのCisco IOSおよびIOS XEソフトウェアセキュリティアドバイザリでこれら4つのCVEをすべて対応しました。個々のCVSSスコアは高くはありませんが(CVE-2026-20112の4.8からCVE-2026-20110の6.5まで)、危険は最初の2つをチェーンできる方法によって増幅されています。
Ciscoのソフトウェアチェッカーツールは、現在使用中のソフトウェア/ファームウェアバージョンを入力することで、スイッチが脆弱性があるかどうかを判定するために使用できます。
CVE-2026-20114、CVE-2026-20112、またはCVE-2026-20113に対する回避策はありません。最高評価の欠陥であるCVE-2026-20110は、コマンドラインインターフェイスから「スタートメンテナンス」コマンドの権限レベルを手動で設定することにより軽減できるとCiscoは述べました。
2月に、CiscoはCatalyst SD-WANマネージャーに影響を与える異なる一連の脆弱性を公開しました。CVE-2026-20122、CVE-2026-20126、およびCVE-2026-20128。これらは攻撃者がrootに昇格することを許可し、CVSS スコア9.8(「重大」)が割り当てられ、回避策はありません。
その同じ月にCiscoはまた、Catalyst SD-WANコントローラーのCVE-2026-20127という脆弱性にパッチを当てました。
この記事は最初にNetwork Worldに掲載されました。
