CISA Alerts Defenders to Exploited Cisco Catalyst SD-WAN Manager Security Flaws
2026/04/21 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Cisco Catalyst SD-WAN Manager の脆弱性が積極的に悪用されている状況を踏まえ、ネットワーク防御担当者に対して緊急の警告を発出した。2026年4月20日に CISA は、このプラットフォームに影響を与える 3 種類のセキュリティ脆弱性を Known Exploited Vulnerabilities (KEV) カタログに正式に追加した。
Cisco Catalyst SD-WAN Manager は、エンタープライズ全体の WAN インフラを設定/維持する重要な管理コンソールである。このプラットフォームは、重要なネットワーク・トラフィックのルーティングを制御しているため、侵害に成功した攻撃者にとって、エンタープライズ環境内での格好の足掛かりとなる。この脆弱性に関しては、2026年4月23日までの 3日間という厳格な期限が、連邦政府機関に対して定められている。
悪用されている 3 つの Cisco 脆弱性
悪用されている、3 つの Cisco 脆弱性は以下の通りである。
- CVE-2026-20133:機密情報を権限のない主体に露出させるため、リモート攻撃者による機密ネットワーク・データの閲覧が可能となる。
- CVE-2026-20122:不適切なファイル処理に起因する特権 API の誤用に関連しており、システム・ファイルを上書きする攻撃者に対して、vManage 権限の取得を許すことになる。
- CVE-2026-20128:復元可能な形式で保存されるパスワードに起因し、認証情報ファイルを取得する低権限のローカル攻撃者が、DCA ユーザー権限への昇格を可能にする。
これらの脆弱性の組み合わせは、ネットワーク全体の完全性に対して深刻な脅威をもたらす。攻撃者は、まずリモートで機密データを収集し、その後に API の脆弱性を悪用して、重要なシステム・ファイルを改変する可能性を得る。vManage または DCA ユーザー権限を取得した時点で、攻撃者は SD-WAN 管理環境に対する実質的な完全制御を得る。
CISA は、実環境における積極的な悪用を確認している。ただし、現時点においては、この脆弱性とランサムウェア・グループの関連性については不明だとしている。その一方で、わずか 3 日という極めて短い修正期間が、この脅威の深刻性を示している。ネットワーク管理者にとって必要なことは、迅速に対応することで、継続的な攻撃からインフラを保護することだ。
連邦政府機関は、CISA の Emergency Directive 26-03 を厳守し、自組織の影響範囲を評価した上で、脆弱なシステムに対して適切にパッチを適用することが求められる。
プラットフォームがクラウド上でホストされている場合には、防御担当者は拘束力のある運用指令 BOD 22-01 に従う必要がある。CISA は、これらの緩和策を迅速に適用できない場合、ネットワーク保護のために当該製品の使用を完全に停止すべきだと明示的に警告している。
また、民間のセキュリティ・チームにおいても、Cisco SD-WAN デバイス向けの公式 Hunt and Hardening Guidance を詳細に確認し、潜在的な侵害の検出および設定の保護を実施する必要がある。
訳者後書:今回の Cisco Catalyst SD-WAN Manager に関する警告は、主に三つの脆弱性が原因となっています。機密情報が露出してしまう CVE-2026-20133 、不適切なファイル処理により特権 API が悪用される CVE-2026-20122 、そしてパスワードが復元可能な形式で保存されていた CVE-2026-20128 です。これらが組み合わさることで、遠隔の攻撃者に管理権限を奪われ、システムの設定を自由に書き換えられるリスクが生じています。特に、本来守られるべき認証情報の管理不備や API の処理の甘さが、攻撃者にとっての大きな突破口となっています。ご利用のチームは、ご注意ください。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.