Cisco fixes SD-WAN vManage flaw exploited in zero-day attacks
2026/06/15 BleepingComputer — Cisco が公表したのは、Catalyst SD-WAN Manager に存在する脆弱性 CVE-2026-20262 に対処するためのセキュリティ・アップデートのリリースである。この脆弱性は、root 権限への昇格を目的とした実際の攻撃で悪用されている。以前は SD-WAN vManage として知られていた Catalyst SD-WAN Manager は、単一のダッシュボードから最大 6,000 台の SD-WAN デバイスを管理するための、ネットワーク管理ソフトウェアである。
今回修正されたゼロデイ脆弱性は、デバイスのコンフィグに関係なく、すべてのデプロイメント形態に影響を及ぼすものである。その対象には、オンプレミス・デプロイメント/Cisco SD-WAN Cloud-Pro/Cisco SD-WAN Cloud (Cisco Managed)/Cisco SD-WAN for Government (FedRAMP) が含まれる。
この問題は、ファイル・アップロード時の、ユーザー入力に対する不十分な検証に起因すると、Cisco は述べている。その結果として、権限の低いリモート攻撃者であっても、影響を受ける API エンドポイントへ細工された HTTP リクエストを送信することで、root 権限で任意のコマンドを実行し得る。
Cisco は、「Catalyst SD-WAN Manager (旧 SD-WAN vManage) の Web UI に存在する脆弱性により、影響を受けるシステムのファイル・システム上でファイルの作成と、任意のファイルの上書きを、認証済みのリモート攻撃者が引き起こす可能性がある」と、2026年6月15日 (月) に公開したアドバイザリで説明している。
さらに同社は、「影響を受けるシステムの API エンドポイントへ向けて、細工された HTTP リクエストを送信する攻撃者は、この脆弱性を悪用し、基盤となるオペレーティング・システム上で任意のファイル作成/上書を可能にし、そのファイルを用いて root 権限への昇格を引き起こす恐れがある」とも説明している。
Cisco によると、同社の Product Security Incident Response Team (PSIRT) は、2026年6月の初めに CVE-2026-20262 の悪用を確認し、顧客に対してシステムへのパッチ適用を強く推奨している。
| Cisco Catalyst SD-WAN リリース | 最初の修正済みリリース |
|---|---|
| 20.9.9.1 以前 | 20.9.9.2 |
| 20.12.7.1 以前 | 20.12.7.2 |
| 20.15.4.4 以前 | 20.15.4.5 |
| 20.15.5.2 以前 | 20.15.5.3 |
| 20.18.3 | 20.18.3.1 |
| 26.1.1.1 以前 | 26.1.1.2 |
同社は、これらの攻撃に関する詳細を公表していないが、侵害インジケーター (IoC) を公開している。管理者に対しては、SD-WAN の vmanage-server/vmanage-appserver/serviceproxy-access のログを確認するとともに、index.jsp および .war ファイルのアップロード試行を調査するよう警告している。
過去においても、Cisco Catalyst SD-WAN Manager の悪用事例について、複数の警告が発せられている。2026年2月には、情報漏洩の脆弱性 CVE-2026-20133 を修正したが、4月下旬の時点で、この脆弱性が実際の攻撃で悪用されていることが判明した。その 2週間後には、脆弱性 CVE-2026-20128/CVE-2026-20122 についても、実際の攻撃で悪用されているとして警告していた。
2026年5月には、Cisco Catalyst SD-WAN Controller に存在する、きわめて深刻な認証バイパスの脆弱性 CVE-2026-20182 について、未修正デバイス上での管理者権限の奪取が可能なゼロデイとして、継続的に悪用されていると警告していた。
さらに 6月上旬には、未修正の Catalyst SD-WAN Manager ゼロデイ脆弱性 CVE-2026-20245 についても警告している。この脆弱性は、実際の攻撃で悪用され、攻撃者による root 権限の取得を可能にしていた。
この数年間にわたり、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、実際の攻撃で悪用された Cisco の脆弱性 91 件を Known Exploited Vulnerabilities (KEV) カタログに追加している。そのうち 5 件は Cisco Catalyst SD-WAN Manager の脆弱性であり、6 件はランサムウェア攻撃で悪用されていた。
訳者後書:Cisco Catalyst SD-WAN Manager における脆弱性 CVE-2026-20262 は、ファイル・アップロード時における、ユーザーからの入力に対する不十分な検証に起因します。この不備を突く低権限のリモート攻撃者が、細工した HTTP リクエストを API エンドポイントに送信する際に、システム上での任意のファイル作成や上書きの可能性が生じています。その結果として、最終的に root 権限で任意のコマンドを実行される恐れがあります。ご利用のチームは、ご注意ください。よろしければ、Cisco Catalyst SD-WAN での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.