Cisco Catalyst SD-WAN ゼロデイ CVE-2026-20127:PoC エクスプロイト公開と実環境での悪用

PoC Exploit Released Cisco SD-WAN 0-Day Vulnerability Exploited in the Wild

2026/03/06 CyberSecurityNews — Cisco Catalyst SD-WAN Controller/SD-WAN Manager (vManage) に存在する最大深刻度のゼロデイ脆弱性 CVE-2026-20127 に対して PoC エクスプロイトが公開された。この脆弱性は、遅くとも 2023 年以降から現在にかけて、実環境で積極的に悪用されてきた。Cisco Talos によると、この活動は脅威クラスター UAT-8616 として追跡されている。同社は、「UAT-8616 は、世界中の重要インフラを標的とする、きわめて高度で洗練されたサイバー・アクターである」と説明している。

zerozenxlabs が GitHub 上で公開した PoC には、正確に動作する Python エクスプロイト・スクリプトと、JSP Web シェル (cmd.jsp) が含まれている。さらに、デプロイ可能な WAR ファイルも含まれており、この深刻な欠陥を武器化する脅威アクターたちの参入障壁を低くしている。

攻撃のメカニズム

この脆弱性は、Cisco SD-WAN システムのピアリング認証メカニズムの欠陥に起因する。この脆弱性を悪用する未認証のリモート攻撃者は、SD-WAN Controller の REST API へ向けて細工した HTTP リクエストを送信し、ログイン・プロセスを完全に回避した上で、有効な認証情報を必要とせずに管理者セッションを取得する。

侵入後の UAT-8616 は、以下の多段階攻撃チェーンを実行している。

  • 初期アクセス:CVE-2026-20127 を悪用して、高特権の非 root 管理者アクセス権を取得する。さらに、不正なピア・デバイスを SD-WAN 管理/制御プレーンに追加する。
  • 権限昇格:意図的なソフトウェア・バージョン・ダウングレードを実施し、旧脆弱性 CVE-2022-20775 を再導入することで、完全な root 権限を取得する。
  • バージョン復元:システムを元のソフトウェア・バージョンへ復元し、ダウングレードに関するフォレンジック痕跡を消去する。
  • 永続化:”/home/root/.ssh/authorized_keys” に不正な SSH キーを追加し、”sshd_config” で “PermitRootLogin yes” を設定することで、SD-WAN 起動スクリプトを改変する。
  • 横方向移動:NETCONF (ポート 830) および SSH を悪用して、SD-WAN アプライアンス間を横方向移動し、ファブリック全体のコンフィグを操作する。
  • 隠蔽:syslog/bash_history/wtmp/lastlog/”/var/log/” 配下のログを削除する。

Cisco Talos が管理者たちに対して強く推奨するのは、SD-WAN ログ内の “control connection peering” イベントを直ちに監査することである。不正な vManage ピア接続/想定外の送信元 IP/異常なタイムスタンプなどを確認する必要がある。

また、不正ピア追加/SSH キー改変/バージョン・ダウングレード/アップグレード履歴を示すログは、侵害の可能性が極めて高い指標として扱うべきである。

2月25日の時点で CISA は、CVE-2026-20127 を Known Exploited Vulnerabilities (KEV) カタログへ追加し、連邦機関に対して緊急のパッチ適用を義務付けた。

Cisco Catalyst SD-WAN を利用する組織は、速やかにパッチを適用する必要がある。また、セキュリティ・アドバイザリを確認するとともに、Australian Cyber Security Centre (ACSC) が公開している SD-WAN Threat Hunting Guide に従い、侵害の有無を確認すべきである。

今回の脆弱性 CVE-2026-20127 の原因は、Cisco Catalyst SD-WAN Controller の認証メカニズムの不備にあります。本来であれば厳格に確認されるべきログイン・プロセスが、特定の HTTP リクエストにより回避されてしまうため、管理者権限の不正な取得を攻撃者に許してしまいます。さらに、侵入した攻撃者は、意図的に古いバージョンへダウングレードさせ、過去の脆弱性である CVE-2022-20775 を再悪用して root 権限を奪取するという、非常に巧妙な手法を組み合わせて実行します。認証プロセスのわずかな隙が、システム全体の制御を失う深刻な事態に繋がっているため、まずは認証の仕組みとログの動きを丁寧に確認することが大切です。よろしければ、『Cisco SD-WAN のゼロデイ CVE-2026-20127 (CVSS:10.0) が FIX:2023 から Root が生じていた』も、ご参照ください。