Cisco SD-WAN の脆弱性 CVE-2026-20245:パッチ未提供の状況での悪用の確認

Cisco SD-WAN Vulnerability Exploited in the Wild to Execute Arbitrary Commands as Root User

2026/06/05 CyberSecurityNews — Cisco が公開したのは、Catalyst SD-WAN Manager のコマンドライン・インターフェイスにおける、入力検証不備の脆弱性 CVE-2026-20245 (CVSS 7.8) である。この脆弱性は既に実環境で悪用されており、root 権限での任意のコマンド実行を攻撃者に許すものである。

Cisco のアドバイザリによると、この脆弱性はファイル・アップロード処理時のユーザー入力に対するサニタイズ不足に起因する。認証済み攻撃者は細工されたファイルをアップロードすることで、コマンド・インジェクションを引き起こし、root ユーザーへの権限昇格を達成できる。

それにより root 権限を取得した攻撃者は、SD-WAN 管理プレーンの完全な侵害や、コンフィグの変更などに加えて、接続されたエッジ・デバイスに影響を及ぼす可能性がある。ただし、この攻撃の前提として、netadmin レベルの権限が必要となるため、未認証攻撃による直接の悪用は不可能である。

Cisco SD-WAN 脆弱性の悪用

その一方で Cisco が警告するのは、攻撃者が他の既知脆弱性 (CVE-2026-20182CVE-2026-20127) と組み合わせて、必要な権限を取得する可能性である。これにより、認証情報侵害や連鎖攻撃が成立する環境では、実運用リスクが大幅に増大する。

Cisco の Product Security Incident Response Team (PSIRT) は、この脆弱性が限定的ながら既に攻撃で利用されていることを確認している。観測された攻撃では、攻撃者は SD-WAN エッジデバイスに対して、不正なコンフィグ変更を実行していた。それが示唆するのは、永続化/ラテラル・ムーブメント/トラフィック操作を目的とする侵害後の活動である。

この脆弱性 CVE-2026-20245 は、すべての Cisco Catalyst SD-WAN Manager 環境に影響する。その対象には、オンプレミス/Cisco SD-WAN Cloud/Cloud-Pro/政府向け (FedRAMP) 環境が含まれる。インターネット公開されたシステムは高リスクであり、管理インターフェイスが外部公開されている場合の危険性は高い。

情報が公開された時点では、専用パッチは提供されておらず、回避策も存在しない。Cisco は、2026年5月アドバイザリで言及された、脆弱性 CVE-2026-20182 に対する修正バージョンへのアップグレードを推奨し、連鎖の防止を警告している。ただし、今回の脆弱性 CVE-2026-20245 に対する修正は、現時点では提供されていない。

検知および対応

Cisco は侵害検知のための指針を提供している。

管理者は “/var/log/” にある “scripts.log” ファイルを確認し、不審なエントリを調査する必要がある。例として “/usr/bin/vconfd_script_upload_tenant_list.sh” の実行時に、悪意ある CSV アップロードなどの不正なファイルパスが含まれる場合が挙げられる。ただし、これらのログは、正規の操作でも出現する可能性があるため、慎重な分析が必要である。

インシデント対応のために、アップグレード前に “request admin-tech” コマンドを用いて、フォレンジック・データを収集することが強く推奨される。

  • これにより侵害範囲の特定に必要な証拠を保持できる。
  • アップデート後も、コンフィグおよびログの確認が必要である。
  • パッチ適用のみでは、既に侵害されたシステムの復旧には不十分である。
  • 侵害の痕跡が確認された場合には、Cisco TAC と連携して対応する必要がある。
  • 永続化メカニズムや不正変更を除去しない限り、ネットワークは引き続き危険にさらされる。

この脆弱性は、Mandiant により報告されたものであり、ベンダーと脅威インテリジェンス・チームの連携の重要性を示している。

現時点における活発な悪用と修正パッチが未提供という状況を踏まえ、Cisco SD-WAN 利用組織にとって必要なことは、アクセス制御/監視/ログ分析を最優先で実施し、恒久的な修正が提供されるまでの間のリスクの低減図ることである。

訳者後書:Cisco Catalyst SD-WAN Manager の脆弱性 CVE-2026-20245 は、コマンドライン・インターフェイスのファイル・アップロード時における、ユーザー入力に対する検証やサニタイズの不足に起因します。この処理の不備を突く攻撃者が、細工したファイルをアップロードする際にコマンド・インジェクションが発生し、root 権限で任意のコマンド実行に至る危険性が指摘されています。Cisco が推奨する 2026年5月のアドバイザリを参照し、修正済みソフトウェア・バージョンへのアップグレードを待つ必要があるとのことです。よろしければ、Cisco SD-WAN での検索結果も、ご参照ください。