シスコは、CVE-2026-20182 として追跡されている Catalyst SD-WAN コントローラの認証バイパスの重大な欠陥がゼロデイ攻撃で積極的に悪用され、攻撃者が影響を受けるデバイスの管理者権限を取得できるようになっていると警告しています。
CVE-2026-20182 の最大重大度は 10.0 で、オンプレミスおよび SD-WAN クラウド展開の Cisco Catalyst SD-WAN コントローラおよび Cisco Catalyst SD-WAN Manager に影響します。
Ciscoは本日発行した勧告の中で、この問題は「正しく機能していない」ピーク認証メカニズムが原因であると述べた。
Cisco アドバイザリー CVE-2026-20182 には、「影響を受けるシステム上のピア認証メカニズムが適切に機能しないために、この脆弱性が存在します。攻撃者は、影響を受けるシステムに細工されたリクエストを送信することで、この脆弱性を悪用する可能性があります。」と記載されています。
「エクスプロイトが成功すると、攻撃者は、影響を受ける Cisco Catalyst SD-WAN コントローラに、内部の高度な特権を持つ root 化されていないユーザー アカウントとしてログインできる可能性があります。攻撃者は、このアカウントを使用して NETCONF にアクセスし、SD-WAN ファブリックのネットワーク構成を操作できるようになります。」
Cisco Catalyst SD-WAN は、集中管理されたシステムを通じてブランチ オフィス、データセンター、クラウド環境を接続するソフトウェア ベースのネットワーキング プラットフォームです。コントローラーを使用して、暗号化された接続を介してサイト間のトラフィックを安全にルーティングします。
同社は、5月にこの欠陥を悪用した脅威を特定したと主張しているが、どのように悪用されたのかについては詳細を明らかにしていない。
ただし、一般的な侵害指標 (IOC) は、SD-WAN ファブリック内に不正なデバイスを登録しようとしている可能性がある、SD-WAN コントローラ ログ内の不正なピアリング イベントを確認するよう管理者に警告します。
攻撃者は不正ピアを追加することで、一見正当な SD-WAN 環境に悪意のあるデバイスを導入することができます。このデバイスは、暗号化された接続を確立し、攻撃者の制御下でネットワークを公開することができるため、攻撃者は組織のネットワークの奥深くに侵入することができます。
この欠陥は、CVE-2026-20127 として追跡され、2 月にパッチが適用された別の Cisco SD-WAN コントローラの脆弱性を調査中に Rapid7 によって発見されました。
CVE-2026-20127 は、2023 年以降、組織内に不正なピアを作成するために「UAT-8616」と呼ばれる脅威アクターによるゼロデイ攻撃にも悪用されています。
シスコはこの脆弱性に対処するセキュリティアップデートをリリースしたが、問題を完全に軽減する回避策はないとしている。
同社はまた、SD-WAN 管理インターフェイスとコントロール プレーン インターフェイスへのアクセスを信頼できる内部ネットワークまたは承認された IP アドレスのみに制限し、不審な接続アクティビティがないか認証ログを確認することを推奨しています。
CISA は、悪用された既知の脆弱性のカタログに Cisco の欠陥 CVE-2026-20182 を追加し、影響を受けるデバイスに 2026 年 5 月 17 日までにパッチを適用するよう連邦政府機関に命じました。
妥協の兆候
シスコは組織に対し、インターネットに公開された Catalyst SD-WAN コントローラ システムからのログを確認して、不正アクセスやスヌーピング イベントを示す可能性のあるイベントを確認することを推奨しています。
会社は管理者が確認する必要があると述べています /var/log/auth.log 不明な IP アドレスからの「vmanage-admin の公開キーを受け入れました」と表示されるエントリの場合:
2026-02-10T22:51:36+00:00 vm sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY]
管理者は、ログ内の IP アドレスと、Cisco Catalyst SD-WAN Manager Web インターフェイスにリストされている設定済みのシステム IP アドレスを比較する必要があります。 WebUI > 楽器 > システムIP。
不明な IP アドレスが正常に認証された場合、管理者はデバイスが侵害されているとみなして、Cisco TAC ケースを開く必要があります。
また、攻撃者が SD-WAN ファブリック内に不正なデバイスを登録しようとする可能性があるため、シスコは、SD-WAN コントローラのログを確認して不正なピアリング アクティビティを確認することも推奨します。
Jul 26 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: control-connection-state-change new-state:up peer-type:vmanagepeer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005
これが CVE-2026-20182 を完全に修正する唯一の方法であるため、シスコでは修正されたソフトウェア リリースにアップグレードすることを強く推奨します。
自動テスト ツールは実際の価値を提供しますが、「攻撃者はネットワークを通過できるか?」という 1 つの質問に答えるために構築されています。これらは、コントロールが脅威をブロックしていること、検出ルールが機能していること、またはクラウド構成が適切であることを確認するために構築されたものではありません。
このガイドでは、実際に検証する必要がある 6 つの表面について説明します。
今すぐダウンロード
