⚠️ 概要
CVSSスコア 7.8・緊急対応が必要です。
本脆弱性はパッチ未提供の状態で野生での悪用が確認されています。
Cisco Catalyst SD-WAN Manager を運用している環境では、今すぐログを確認し、侵害の痕跡がないか検証してください。
この脆弱性について
| 項目 | 内容 |
|---|---|
| CVE-ID | CVE-2026-20245 |
| CVSSスコア | 7.8(CVSS v3.1) |
| 対象製品 | Cisco Catalyst SD-WAN Manager |
| 対象デプロイタイプ | On-Prem / Cloud-Pro / Cisco Managed Cloud / FedRAMP |
| 公開日 | 2026年6月5日 |
| 悪用状況 | 野生での悪用確認済み(Cisco PSIRT・Mandiant報告) |
| パッチ状況 | 現時点では公式パッチは未提供です。Cisco が修正版リリースを準備中 |
Cisco Catalyst SD-WAN Manager は、SD-WAN インフラ全体を一元管理する中枢コンポーネントです。
この管理プレーンに対して root 権限でのコマンド実行が可能になる脆弱性が確認されており、影響の深刻度は見た目のCVSSスコア(7.8)以上です。
原因
CVE-2026-20245 の根本原因は、SD-WAN Manager の CLI におけるユーザー入力のバリデーション不足です。
SD-WAN Manager の CLI には、設定ファイルや診断ファイルをアップロードする機能があります。
このファイルアップロード処理において、ファイルの内容が十分に検証されていないため、細工されたファイルを送り込むことでコマンドインジェクションが発生します。
攻撃フローをまとめると次のとおりです。
攻撃者(netadmin権限保持)
↓
細工したファイルを SD-WAN Manager CLI 経由でアップロード
↓
ファイルの内容に含まれる任意コマンドが注入される
↓
root 権限でのコマンド実行(OS 全体の完全制御)
↓
エッジデバイスへの設定変更の伝播(被害の拡大)攻撃者が netadmin 権限を得る方法
この脆弱性を悪用するには、事前に netadmin 権限が必要です。
しかし、この前提条件は過小評価すべきではありません。
Cisco は以下の経路で権限を取得される可能性を明示しています。
- 盗まれた認証情報(フィッシング・クレデンシャルスタッフィング等)
- CVE-2026-20182(SD-WAN Manager の認証バイパス脆弱性)の悪用
- CVE-2026-20127(SD-WAN Manager の別の認証バイパス脆弱性)の悪用
特に CVE-2026-20182 は既収集・既知の脆弱性であり、この2段階のチェーン攻撃が現在進行中の悪用で観測されています。
影響範囲
影響を受ける環境
Cisco Catalyst SD-WAN Manager を使用しているすべての展開形態が対象です。
- オンプレミス環境
- Cisco SD-WAN Cloud-Pro
- Cisco SD-WAN Cloud(Cisco Managed)
- Cisco SD-WAN for Government(FedRAMP)
悪用された場合のリスク
1. 管理ノード上での root 権限取得
SD-WAN Manager 上での任意コマンド実行が可能になります。
SD-WAN Manager は管理プレーン全体の設定情報を保持しているため、クレデンシャルの窃取・設定の改ざん・バックドアの設置などあらゆる操作が可能になります。
2. エッジデバイスへの設定変更の伝播
Cisco の報告では、実際の悪用事例において SD-WAN Manager から配下のエッジデバイスに不正な設定変更が伝播したケースが確認されています。
これはネットワーク全体のルーティング・ポリシーが攻撃者の意図した通りに書き換えられる可能性を意味します。
3. 二次被害への連鎖
SD-WAN Manager に保存された接続情報・APIキー・証明書等が漏洩することで、クラウド環境や企業内ネットワークへの横断的移動(Lateral Movement)が進む可能性があります。
対応策・回避策
現時点では公式パッチは未提供です。
Cisco が提示しているガイダンスに従い、以下の手順を順番に実施してください。
Step 1: admin-tech データの収集(即時実施)
アップグレードや調査の前に、各 SD-WAN コントロールコンポーネントから admin-tech データを収集してください。
これは侵害の証拠保全として重要です。
パッチ適用後に証拠が消失するケースがあるため、先にデータを保存します。
# Cisco SD-WAN Manager CLI から admin-tech ファイルを生成
request admin-tech生成されたファイルは安全な場所に保存し、侵害調査のために保持してください。
Step 2: ログの確認(即時実施)
Cisco は CVE-2026-20245 に関連する IOC(侵害指標)をログガイダンスとして公開しています。以下の観点でログを精査してください。
# SD-WAN Manager のシステムログを確認
show log system
# 予期しない root レベルの操作がないか確認
grep -i "root" /var/log/messages
grep -i "command injection" /var/log/messages
# エッジデバイスへの設定プッシュ履歴を確認
show orchestrator connections
show sdwan control local-propertiesStep 3: エッジデバイスの設定確認
# 各エッジデバイスで設定が意図しない変更を受けていないか確認
show running-config
show sdwan running-config
# 設定の差分確認(以前のスナップショットと比較)
show config diffStep 4: ネットワークアクセス制限(暫定対応)
公式パッチが提供されるまでの間、SD-WAN Manager の管理インターフェースへのアクセスを最小化してください。
推奨アクセス制限:
- 管理ポートを信頼できるIP帯からのみ許可
- netadmin 権限アカウントの多要素認証(MFA)の有効化
- 不審なセッションや認証失敗の監視強化
- CVE-2026-20182 / CVE-2026-20127 が未対応の場合は優先的にパッチ適用Step 5: Cisco TAC への連絡(侵害が疑われる場合)
ログに不審な活動が確認された場合は、単独でのパッチ適用だけでは完全に環境を復旧できない可能性があります。
Cisco は侵害が確認された場合は Cisco TAC と連携した対応を推奨しています。
確認方法
自分の環境が影響を受けるか確認するための基本的なコマンドです。
# SD-WAN Manager のバージョン確認
show version
# 現在接続中のセッション・ユーザーを確認
show users
show sessions
# netadmin 権限を持つユーザーのリスト確認
show aaa usersまとめ
CVE-2026-20245 はパッチ未提供のゼロデイ脆弱性であり、現在も野生での悪用が進行中です。
単独では netadmin 権限が必要という前提条件があるものの、既存の SD-WAN 認証バイパス脆弱性(CVE-2026-20182 等)との組み合わせにより、初期アクセスから root 権限取得まで一気に進む攻撃チェーンが観測されています。
SD-WAN Manager はネットワーク全体の管理プレーンであるため、侵害の影響はエッジデバイス全体に及ぶ点が特に危険です。
まず admin-tech データの保全とログ確認を最優先で実施し、Cisco からのパッチ提供情報を継続的に追ってください。
参考リンク
- NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-20245
- ベンダーアドバイザリ: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW
- Help Net Security 解説: https://www.helpnetsecurity.com/2026/06/05/cisco-sd-wan-cve-2026-20245-0-day-exploited/
- BleepingComputer: https://www.bleepingcomputer.com/news/security/new-cisco-sd-wan-flaw-exploited-in-zero-day-attacks-to-gain-root/
- SOC Prime 分析: https://socprime.com/blog/cve-2026-20245-analysis/
コメント