Critical Cisco SD-WAN 0-Day Vulnerability Exploited Since 2023 to Gain Root Access
2025/02/25 CyberSecurityNews — Cisco が開示したのは、Catalyst SD-WAN 製品に存在する重大な zero-day 脆弱性に関する情報である。この脆弱性 CVE-2026-20127 (CVSS:10.0:Critical) を悪用する脅威アクターは、認証回避および root アクセス取得が可能になる。この脆弱性は、Cisco Catalyst SD-WAN Controller (旧 vSmart)/Catalyst SD-WAN Manage (旧 vManage) のピアリング認証メカニズムの欠陥に起因する。注目すべきは、2023 年以降において、この脆弱性が脅威アクターたちにより悪用されていたことだ。
この脆弱性を悪用する未認証のリモート攻撃者は、細工されたリクエストを送信することで認証チェックを回避できる。その結果として、高権限の non-root 内部ユーザーとしてログインが可能になる。
このアクセスにより NETCONF 操作が可能となるため、SD-WAN ファブリック全体のネットワーク・コンフィグ変更が引き起こされる可能性がある。その中には、不正なピアの悪追加やルーティングの変更などが含まれる。
この脆弱性の、攻撃ベクターは Network、攻撃複雑度は低、特権不要、ユーザー操作不要である。
この脆弱性は、オンプレミス環境および Cisco-hosted SD-WAN Cloud 環境 (standard/managed/FedRAMP) に影響する。すでに Cisco は、2026年02月25日の時点で修正版を公開しているが、完全な回避策は存在しないと述べている。
侵害のタイムライン
Cisco Talos によると、実環境での zero-day 悪用は遅くとも 2023 年まで遡る。この活動について、Talos は UAT-8616 として追跡しており、重要インフラなど高価値標的における侵害後の永続化と関連付けている。
この攻撃者は、コンフィグに不正なピアを追加し、長期的なネットワーク・アクセスを確立していた。
認証を回避して侵入した攻撃者はソフトウェアをダウングレードし、パス・トラバーサルの脆弱性 CVE-2022-20775 を悪用して root 権限へ昇格した。その後に、元のバージョンへ復元して検知を回避している。
この攻撃チェーンが示すのは、ネットワーク・エッジ・デバイスを足掛かりとするための、標的化された高度な戦術である。Cisco Talos の報告では、インターネット公開された Management/Control プレーンの侵害が確認されている。
UAT-8616 について、重要セクターにおける持続的アクセスを目的として SD-WAN を標的とする、高度に洗練されたアクターだと Cisco Talos は評価している。現時点において、詳細な IOC は公開されていない。しかしハンティング・ガイドでは、ピア設定とバージョン履歴の確認が推奨されている。
| Product | Affected Versions | Fixed Versions |
|---|---|---|
| SD-WAN Controller (vSmart) | 20.3.1 – 20.14.3, 20.15.1 | 20.14.4, 20.15.2 |
| SD-WAN Manager (vManage) | 20.3.1 – 20.14.3, 20.15.1 | 20.14.4, 20.15.2 |
検証を実施する際には、公開ポートのインベントリと NETCONF log の異常監査が必要である。暫定対策として推奨されるのは、Management プレーンへのアクセス制限および未承認ピアの監視である。
2026年02月25日に CISAの は、CVE-2026-20127/CVE-2022-20775 を Known Exploited Vulnerabilities カタログに追加した。Emergency Directive 26-03 により 、FCEB 機関に義務付けられたのは、SD-WAN システムのインベントリ管理/21 日以内のパッチ適用/侵害痕跡の調査である。Australian Cyber Security Centre および Canadian Cyber Centre も実環境で不正なピア追加を確認したとして、警告を発出している。
緩和のステップ
- Cisco Advisory から修正版を速やかに適用する。
- インターネット公開コントローラーを中心に SD-WAN 環境をインベントリする。
- CLI で不正なピアを確認する、”show sdwan omp peers detail” を実行して NETCONF セッションを確認する。
- 認証の失敗およびバージョン変更のログを有効化する。侵害が確認された場合は、コンフィグをリセットする。
- Cisco TAC へ連絡し、Talos ハンチング・ガイダンスへ従う。
UAT-8616 は長期にわたる永続化を狙っているため、重要インフラ組織は、この問題について優先的に確認すべきである。エッジ・デバイスへの zero-trust 適用は、同様の脅威への対抗策となる。
IoT OT Security News 
You must be logged in to post a comment.