Cisco Catalyst SD-WAN の脆弱性 CVE-2026-20182 が FIX:Admin 奪取の可能性

Cisco Catalyst SD-WAN Controller 0-Day Actively Exploited to Gain Admin Access

2026/05/15 CyberSecurityNews — Cisco Catalyst SD-WAN Controller における、脆弱性 CVE-2026-20182 (CVSS:10.0:Critical) が積極的に悪用されている。この脆弱性を悪用する未認証のリモート攻撃者は、認証を完全にバイパスし、エンタープライズ・ネットワーク基盤の管理権限を掌握できる状態にある。この脆弱性により、オンプレミス/クラウド/政府環境を含む SD-WAN 展開全体が重大なリスクにさらされている。

Cisco Catalyst SD-WAN Controller のゼロデイ

Rapid7 Labs の Stephen Fewer/Jonah Burgess が、既存の SD-WAN 脆弱性 CVE-2026-20127 を調査している最中に、今回の脆弱性 CVE-2026-20182 が発見された。

この問題は、UDP ポート 12346 上で DTLS を使用する vdaemon サービスに存在する。2026年2月に悪用された control-plane ピアリング・サービスでも、同一コンポーネントが問題となった。

この脆弱性の根本原因は、vbond_proc_challenge_ack() 関数におけるロジック欠陥であり、control connection ハンドシェイク時のデバイスタイプ別証明書の検証に問題がある。

この認証ロジックは、以下のデバイスタイプに対して検証を実施する。

  • vSmart (type 3)
  • vManage (type 5)
  • vEdge (type 1)

しかし、vHub (device type 2) に対する検証処理は存在しない。

この欠陥を突く攻撃者は、vHub を名乗る CHALLENGE_ACK メッセージを送信することで、すべての証明書検証を回避し、認証フラグを無条件で true に設定させることが可能となる。

この攻撃に際して、有効な認証情報/CA 署名証明書/SD-WAN トポロジーの知識は、いずれも不要である。Rapid7 によると、この攻撃チェーンは極めて単純である。

  • 自己署名証明書で DTLS ハンドシェイクを実行
  • CHALLENGE を受信
  • device type 2 (vHub) として CHALLENGE_ACK を送信
  • 認証フラグが設定される
  • Hello メッセージを送信
  • ピアが完全に信頼された control-plane ノードとして UP 状態へ遷移する

認証後の攻撃者は、MSG_VMANAGE_TO_PEER ハンドラ “vbond_proc_vmanage_to_peer ()” を悪用する。この処理により、攻撃者が制御する SSH 公開鍵が “/home/vmanage-admin/.ssh/authorized_keys” に追加されるが、入力の検証は行われない。

これにより一時的なピア接続が、認証情報に依存しない永続的な SSH アクセスへと変換される。攻撃者は、TCP ポート 830 の NETCONF サービスに対して、高権限アカウント vmanage-admin としてアクセス可能となる。

このアカウントを用いる攻撃者は、SD-WAN 全体のネットワーク・コンフィグを読み取り改竄できる、任意の NETCONF コマンドの実行が可能となる。

Rapid7 は、vHub 認証バイパスおよび鍵注入を実証する Metasploit モジュールを開発しており、2026年5月27日に公開予定である。

脆弱性 CVE-2026-20182 は、Cisco Catalyst SD-WAN Controller および SD-WAN Manager に影響し、コンフィグの状態に関係なく、すべての形態のデプロイメントに対して影響を及ぼす。対象には、以下が含まれる。

  • オンプレミス
  • SD-WAN Cloud-Pro
  • Cisco Managed Cloud
  • SD-WAN for Government (FedRAMP)

Cisco Product Security Incident Response Team (PSIRT) は、限定的な範囲における積極的な悪用を、2026年5月の時点で確認している。

防御側にとって必要なことは、”/var/log/auth.log” を監査し、不正な IP アドレスからの “Accepted publickey for vmanage-admin” エントリを確認することだ。

管理者は Controller/Manager の CLI から、以下のコマンドを実行する必要がある。

  • show control connections detail
  • show control connections-history detail

“state:up” と “challenge-ack: 0” の組み合わせは、challenge ハンドシェイク未完了で認証が成立したことを示す。

Indicators of Compromise (IOC)
IOC TypeValue / Description
Log File/var/log/auth.log
Suspicious EntryAccepted publickey for vmanage-admin from unknown IP
Injected File/home/vmanage-admin/.ssh/authorized_keys (unauthorized key appended)
Suspicious PortDTLS UDP/12346 (vdaemon), TCP/830 (NETCONF SSH)
CVECVE-2026-20182
CVSS Score10.0 (Critical)
CWECWE-287: Improper Authentication

Cisco は、この脆弱性に対する回避策が存在しないことを確認しており、パッチ適用のみが唯一の緩和の手段となる。

アップグレード前に、すべての control コンポーネントで、request admin-tech コマンドを実行し、侵害のフォレンジック証跡を保全する必要がある。

修正バージョンは以下の通りである。

20.12 系列:20.12.5.4/20.12.6.2/20.12.7.1
20.15 系列:20.15.4.4/20.15.5.2
20.18 系列:20.18.2.2
26.1 系列:26.1.1.1

20.9 未満/20.10/20.11/20.13/20.14/20.16 は、ソフトウェア保守が終了しているため、サポート対象となる修正済みバージョンへの移行が必要となる。

訳者後書:Cisco の拠点間ネットワーク管理システムに見つかった、 きわめて深刻な脆弱性に関する解説です。 問題の原因は、 制御通信の確立時にデバイスタイプを識別する、認証ロジックの欠陥にあります。 具体的には、デバイスの一種である vHub を自称するリクエストに対して、 システムが証明書の検証をすべて回避して認証を成立させてしまう不備があります。この脆弱性 CVE-2026-20182 が悪用されると、認証情報なしでのリモート操作を許すだけではなく、管理者アカウントへの不正な SSH 鍵の注入による、ネットワーク・コンフィグ改竄の可能性が生じます。ご利用のチームは、ご注意ください。よろしければ、Cisco Catalyst SD-WAN での検索結果も、ご参照ください。