複数ライセンス割引見積
脅威データベース 脆弱性 SD-WAN CVE-2026-20127 の脆弱性

SD-WAN CVE-2026-20127 の脆弱性

脆弱性Mezoまで
翻訳内容:

Cisco SystemsのCisco Catalyst SD-WANコントローラおよびCisco Catalyst SD-WANマネージャにおいて、CVE-2026-20127(CVSSスコア:10.0)として追跡されている最大深刻度の脆弱性が確認されました。この脆弱性により、認証されていないリモート攻撃者は、特別に細工されたリクエストを脆弱なシステムに送信することで、認証制御をバイパスし、管理者権限を取得できます。

この問題は、ピアリング認証メカニズムの不具合に起因しており、攻撃者が内部の高権限非ルートユーザーとしてログインできる可能性があります。このレベルのアクセス権限を持つ攻撃者は、NETCONFサービスにアクセスし、SD-WANファブリック構成を操作できるため、企業ネットワークの整合性と可用性が損なわれる可能性があります。

影響を受ける展開モデル

この脆弱性は、構成に関係なく、複数の展開モデルに影響を及ぼします。

  • オンプレミス展開
  • シスコ ホスト型 SD-WAN クラウド
  • Cisco Hosted SD-WAN クラウド – Cisco マネージド
  • Cisco Hosted SD-WAN クラウド – FedRAMP 環境

パブリックインターネットに公開されているシステム、特にポートが開いているシステムは、侵害を受けるリスクが著しく高まります。

アクティブなエクスプロイトと脅威アクターの活動

セキュリティ研究者は、2023年まで遡るアクティブなエクスプロイト活動を確認しています。この攻撃キャンペーンはUAT-8616という識別番号で追跡されており、高度な脅威クラスターと評価されています。証拠から、このグループはこのゼロデイ脆弱性を悪用してCisco SD-WAN環境に侵入し、永続的な昇格アクセスを獲得したことがわかります。

攻撃手法には、SD-WAN管理プレーンまたは制御プレーンに接続する不正なピアの作成が含まれます。この悪意のあるデバイスは、正当なものの一時的なSD-WANコンポーネントのように見え、管理インフラストラクチャ内での信頼できるインタラクションを可能にします。

インターネットに接続されたアプリケーションが最初に侵害された後、攻撃者は組み込みの更新メカニズムを悪用してソフトウェアのバージョンをダウングレードしました。このダウングレードにより、Cisco SD-WANソフトウェアCLIにおける深刻度の高い権限昇格の脆弱性(CVE-2022-20775、CVSSスコア:7.8)の悪用が容易になります。攻撃者はルート権限を取得すると、システムを元のソフトウェアバージョンに復元し、検出を最小限に抑えます。

UAT-8616 に起因する侵害後のアクションには次のものが含まれます。

  • 正規のアカウントに似せて設計されたローカルユーザーアカウントの作成
  • ルートアクセス用の SSH 認証キーの挿入と SD-WAN 起動スクリプトの変更
  • 管理プレーン内での横方向の移動にポート 830 経由の NETCONF と SSH を使用する
  • /var/log 下のファイル、コマンド履歴、ネットワーク接続記録の削除を含むログの改ざん

    • この活動は、高度な攻撃者がネットワーク エッジ インフラストラクチャをターゲットにして、重要なインフラストラクチャ セクターを含む高価値環境に永続的な足場を確立するという、より広範な傾向を反映しています。

    パッチ適用と修復のガイダンス

    シスコは複数のソフトウェアトレインに修正プログラムをリリースしました。脆弱性のあるバージョンを運用している組織は、以下の修正プログラムを含むリリースにアップグレードする必要があります。

    • 20.9.1より前のバージョン: 修正リリースに移行
    • 20.9: 20.9.8.2 にアップグレード
    • 20.11.1: 20.12.6.1 にアップグレード
    • 20.12.5: 20.12.5.3 にアップグレード
    • 20.12.6: 20.12.6.1 にアップグレード
    • 20.13.1、20.14.1、20.15: 20.15.4.2 にアップグレード
    • 20.16.1 および 20.18: 20.18.2.1 にアップグレード

    パッチ適用に加えて、組織はフォレンジック検証を実施する必要があります。推奨される対策としては、/var/log/auth.log ファイルを確認し、不明なIPアドレスから発信された「Accepted publickey for vmanage-admin」というエントリがないか確認することが挙げられます。疑わしいIPアドレスは、Cisco Catalyst SD-WAN Manager Web UIの[デバイス] > [システムIP]に表示される設定済みシステムIPと照合する必要があります。

    潜在的なダウングレードまたは予期しない再起動イベントを検出するには、次のログ ファイルを分析する必要があります。

    • /var/volatile/log/vdebug
    • /var/log/tmplog/vdebug
    • /var/volatile/log/sw_script_synccdb.log

    連邦政府の義務と規制対応

    確認された悪用事例を受け、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、CVE-2026-20127とCVE-2022-20775の両方を既知の悪用脆弱性(KEV)カタログに追加しました。連邦民政執行機関は、これらの脆弱性を24時間以内に修正することが義務付けられています。

    CISAは、「Cisco SD-WANシステムの脆弱性を軽減する」と題する緊急指令26-03も発行しました。この指令では、連邦政府機関に対し、対象となるすべてのSD-WAN資産の棚卸し、セキュリティアップデートの適用、および侵害の兆候の評価を義務付けています。

    コンプライアンス期限では、機関に次のことが求められます。

    • 対象範囲内にあるすべての SD-WAN システムのカタログを、2026 年 2 月 26 日午後 11 時 59 分 (東部標準時) までに提出してください。
    • 影響を受ける製品と修復アクションの詳細なインベントリを、2026 年 3 月 5 日午後 11 時 59 分 (東部標準時) までに提供してください。
    • すべての環境強化対策を 2026 年 3 月 26 日午後 11 時 59 分 (東部標準時) までに報告してください。

    これらの展開は、SD-WAN 環境を標的とする高度で持続的な脅威を軽減するために、プロアクティブなパッチ管理、継続的な監視、ネットワーク エッジ インフラストラクチャの防御強化が緊急に必要であることを強調しています。

    トレンド

    KIMCHIエアドロップ詐欺

    不正なウェブサイト
    今日のデジタル環境において、ウェブ閲覧時の注意はこれまで以上に重要です。サイバー犯罪者は絶えず手口を洗練させ、好奇心を餌に簡単に報酬を得られると謳う、説得力のある手口を編み出しています。取引が取り消し不能で匿名性が当たり前となっている暗号通貨の世界では、たった一度のミスが永続的な経済的損失につながる可能性があります。 KIMCHIエアドロップ詐欺が発覚 kimchipump.comとkimc...

    Medusaランサムウェア攻撃キャンペーン

    高度な持続的脅威 (APT), ランサムウェア
    北朝鮮と関連のある脅威アクター「Lazarus Group」(別名Diamond Sleet、Pompilus)が、中東の匿名組織への攻撃でMedusaランサムウェアを展開したことが確認されました。セキュリティ研究者らはさらに、同じアクターが米国の医療機関を標的とした侵入未遂事件を特定しました。 Medusaは、ランサムウェア・アズ・ア・サービス(RaaS)モデルを採用しており、2023年にSpearwingと名乗るサイバー犯罪グループによって開始されました。出現以来、この攻撃は366件以上の攻撃の犯行声明を出しています。Medusaのリークポータルを調査したところ、2025年11月以降...

    XMRig クリプトジャッキング キャンペーン

    マルウェア, 高度な持続的脅威 (APT)
    徹底的な調査の結果、海賊版ソフトウェアバンドルを利用してカスタマイズされたXMRigマイナーでシステムを感染させる、高度なクリプトジャッキング攻撃キャンペーンが明らかになりました。この攻撃はソーシャルエンジニアリングを多用し、クラックされたオフィス生産性向上スイートなどの無料の有料アプリケーションを宣伝することで、ユーザーにトロイの木馬化されたインストーラーをダウンロードさせようとしています...

    最も見られました

    「プリンタドライバが利用できません」エラーを修正する方法

    問題
    36,487
    プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

    修正方法「macOSはこのアプリにマルウェアがないことを確認できません」

    問題
    29,325
    Macユーザーは通常、不明な開発者または公式のApp Storeで入手できず、サードパーティのアプリから提供されているアプリケーションをインストールしようとしているときに、「macOSはこのアプリにマルウェアがないことを確認できません」というメッセージが表示されます。licationプラットフォーム。このような場合、Gatekeepと呼ばれる組み込みのMacセキュリティシステムは、特定のアプ...
    画面を共有するとDiscordが黒い画面を表示するスクリーンショット

    画面を共有するとDiscordが黒い画面を表示する

    問題
    29,148
    最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
    読み込んでいます...