Cisco SD-WAN のゼロデイ脆弱性 CVE-2026-20245:実環境での root 権限昇格を観測

Hackers Exploiting Cisco Catalyst SD-WAN Manager 0-Day Flaw to Gain Root-Level Access

2026/06/24 CyberSecurityNews — Cisco SD-WAN インフラが、高度な脅威アクターにより積極的に標的にされている。このキャンペーンでは、Catalyst SD-WAN Manager に存在するゼロデイの脆弱性 CVE-2026-20245 (CVSS:7.8) を悪用する攻撃者が、検知を回避しながら、侵害した管理者アカウントから完全な root 権限への昇格を達成している。

脆弱性 CVE-2026-20245 は、Cisco Catalyst SD-WAN Controllers のコマンド・ライン・インターフェイス (CLI) に存在し、CWE-116 (出力の不適切なエンコードまたはエスケープ) に分類される。

この脆弱性は、デバイスのファイル・アップロード機能が、ユーザー指定入力を適切に検証またはフィルタリングせずに、特権シェル・ヘルパー処理に受け渡すことで発生する。したがって、netadmin レベルの権限を持つ認証済みの攻撃者は、特別に細工した CSV ファイルをアップロードすることでコマンド・インジェクションを引き起こし、root 権限での任意のコマンド実行に至る恐れがある。この脆弱性が影響を及ぼす範囲は、オンプレミス/Cisco SD-WAN Cloud/Cloud-Pro/FedRAMP 政府環境などの、すべてのデプロイメント形態となる。

侵害は 2 つの段階で進行した。2025 年後半から 2026年1月にかけて、Mandiant が観測したのは、被害組織の SD-WAN Manager デバイスに対する複数の不正なピアリング接続である。この悪用試行では、未認証のリモート攻撃者による、管理者権限の取得を可能にする認証バイパスの脆弱性 CVE-2026-20127 (CVSS:10.0)CVE-2026-20182 (CVSS:10.0) が悪用された可能性が高い。

この期間中において、一連の脆弱性は未公開かつ未修正であるため、攻撃者は侵入経路を自由に悪用していた可能性が高い。

続いて 2026年3月以降に、攻撃者は新たな不正ピア接続を確立し、デフォルト・アカウントである vmanage-admin を悪用することで、SSH 経由で SD-WAN Manager への認証を行った。侵入を達成した攻撃者は、デフォルトの admin アカウントのパスワードを変更し、SD-WAN Manager の Web インターフェイスへ直接ログインして、エッジ・デバイス・テンプレートや実行中のコンフィグを含むデバイス設定を窃取した。さらに、通常業務中の管理者に疑念を抱かせないよう、変更したパスワードを元の状態へと戻していた。

悪意ある CSV アップロードによるゼロデイの悪用

admin アカウントとの間で SSH セッションを確立した攻撃者は、標的を絞ったファイル・アップロード・コマンドを実行し、”evil_tenant.csv” という名前のファイルを送信した。

このファイルに埋め込まれたエクスプロイト・ペイロードは、システムの “/etc/passwd” および “/etc/shadow” を改竄し、UID 0 の完全な root 権限を持つ troot という新たなユーザー・アカウントを追加した。その後に攻撃者は、su (substitute user) コマンドを用いて追加したアカウントに切り替え、root 権限を取得し、管理プレーンを完全に制御した。

運用上の秘匿性を維持する攻撃者は、検証スクリプトを実行し、フォレンジック痕跡を体系的に確認して削除した。それにより、”evil_tenant.csv” の削除/元の vbond_vsmart_tenant_list コンフィグへの復元/”/etc/passwd” および “/etc/shadow” の復帰、troot アカウントの削除などが実行された。攻撃者が実行したのは、すべての侵害の痕跡を排除する徹底的なクリーンアップであった。

緩和策

Cisco Catalyst SD-WAN Manager を運用する組織は、直ちに以下の対策を実施する必要がある。

  • 修正済みリリースへと直ちにアップグレードする。対象バージョンは 20.9.9.2/20.12.7.2/20.15.4.5/20.15.5.3/20.18.3.1/26.1.1.2 以降である。
  • すべてのコントロール・プレーン・コンポーネントで “request admin-tech” を実行し、ログを収集した上で IoC のスイープを実施する。
  • “/var/log/scripts.log” を確認して、不審なファイル・アップロード・コマンドや不正なコンフィグ変更の有無を調査する。
  • 侵害の指標が確認された場合には、直ちに Cisco TAC へ連絡する。
  • Cisco Catalyst SD-WAN Hardening Guide に従い、管理プレーン/コントロール・プレーン/データ・プレーン全体に多層防御を実装する。

このキャンペーンは、エンタープライズ接続の中枢でありながら、テレメトリが限定されたブラックボックスとして機能する、ネットワーク・アプライアンスを標的とするものである。また、国家支援型アクターが好んで採用する、”living off the edge” という攻撃手法を象徴するものでもある。

Google Threat Intelligence Group (GTIG) は、エッジ・デバイスを標的としたゼロデイ攻撃が前年比で継続的に増加していることを確認している。Cisco SD-WAN の管理プレーンを標的とする攻撃では、CVE-2026-20127/CVE-2026-20182/CVE-2026-20245 の 3 件の脆弱性が連鎖的に悪用されている。それが示唆するのは、単一のバグの悪用ではなく、構造的な欠陥の存在である。

分散型 SD-WAN 環境を運用する組織にとって必要なことは、管理プレーンを Tier-1 の攻撃対象領域として扱い、厳格なアクセス制御/継続的な監視/積極的なパッチ適用サイクルを徹底することである。

IoC

DescriptionIndicator
IP address connecting as rogue device and exploiting CVE-2026-20245126.51.108[.]152
IP address connecting as rogue device76.92.245[.]217
IP address connecting as rogue device207.190.37[.]94
IP address connecting as rogue device23.245.7[.]178
IP address connecting as rogue device153.186.231[.]233
IP address connecting as rogue device167.179.79[.]189
IP address connecting as rogue device45.32.38[.]160
IP address connecting as rogue device209.137.225[.]101

注:IP アドレスおよびドメインは、意図しない名前解決やハイパーリンク化を防ぐため、意図的に無害化されており (例:[.] )、これらを再び有効化するのは、MISP/VirusTotal/SIEM などの管理された脅威インテリジェンス・プラットフォーム内に限定すべきである。