この記事の概要
Cisco Catalyst SD-WAN Controller および SD-WAN Manager に、認証を完全にバイパスできるCVSS 10.0の深刻な脆弱性が発見されました。
悪用されると、未認証の攻撃者がリモートから管理者権限を取得し、SD-WANファブリック全体のネットワーク設定を自由に操作できる状態になります。
CISA は2026年5月14日付けで KEV(既知悪用脆弱性カタログ)への掲載を発表。
連邦機関に対して5月17日までの対応を義務付けており、すでに APT グループ UAT-8616 による実際の悪用が確認されています。
この脆弱性について
| 項目 | 内容 |
|---|---|
| CVE-ID | CVE-2026-20182 |
| CVSSスコア(v3.1) | 10.0 Critical |
| 脆弱性の種類 | 認証バイパス(CWE-287) |
| 対象製品 | Cisco Catalyst SD-WAN Controller(旧 vSmart)、Cisco Catalyst SD-WAN Manager(旧 vManage) |
| 攻撃ベクター | リモート・認証不要 |
| 公開日 | 2026年3月3日(Cisco Advisory) |
| CISA KEV 追加日 | 2026年5月14日 |
| 対応策 | パッチあり(回避策なし) |
原因
この脆弱性の根本原因は、SD-WAN コントロールプレーンのピアリング認証(コントロールコネクションハンドシェイク)の実装上の欠陥にあります。
Cisco Catalyst SD-WAN では、コントローラー同士が「ピアリング」と呼ばれる接続確立プロセスを行います。
正常であれば、接続してきたピアデバイスの証明書を検証してから認証済み状態にするべきです。
しかし、このハンドシェイク処理に論理的な欠陥があります。
接続してきたピアが vHub デバイスを名乗った場合、デバイスタイプ固有の証明書検証がスキップされてしまいます。
ところが、コードパスの後続処理はそのピアを「認証済み」としてマークし、接続を継続してしまいます。
つまり、攻撃者は「自分は vHub だ」と偽って特定のポートに細工したパケットを送りつけるだけで、本来必要なはずの証明書検証を回避し、高権限のセッションを確立できてしまいます。
影響範囲
影響を受ける製品・バージョン
- Cisco Catalyst SD-WAN Controller(旧称:vSmart)全サポートバージョン
- Cisco Catalyst SD-WAN Manager(旧称:vManage)全サポートバージョン
正確な影響バージョンと修正バージョンは Cisco の公式アドバイザリを参照してください。
攻撃が成立する条件
- SD-WAN Controller または Manager がネットワークからアクセス可能であること(UDP 12346 ポートへの到達性)
- 攻撃者は認証情報を一切必要としません
インターネット非公開の環境でも、内部ネットワーク経由でのアクセスが可能であれば攻撃が成立します。
悪用された場合のリスク
攻撃に成功すると、攻撃者は 高権限の内部アカウント(非 root だが管理者相当)として SD-WAN コントローラーにログインできます。
SD-WAN のコントロールプレーンへの管理者アクセスは、事実上ファブリック全体の支配を意味します。
確認されている悪用後の活動(Cisco Talos / UAT-8616 によるもの):
- NETCONF を通じたネットワーク設定の改ざん
- SSH 公開鍵の不正追加(永続バックドアの設置)
- 悪意のあるアカウント作成
- ログの消去(侵害痕跡の隠蔽)
- 横展開(ラテラルムーブメント)とデータ窃取
さらに、古い脆弱性(例:CVE-2022-20775)を悪用した バージョンダウングレード攻撃で root 権限への昇格が可能という分析も報告されています。
攻撃後にバージョンを戻すことで痕跡を隠す手口も確認されており、非常に高度な脅威です。
対応策・回避策
⚠️ Cisco は今回の脆弱性に対して回避策(ワークアラウンド)を提供していません。パッチ適用が唯一の根本対策です。
パッチ適用
Cisco 公式アドバイザリを参照し、使用バージョンに対応するソフトウェアへアップグレードしてください。
# SD-WAN Manager でのソフトウェアバージョン確認
show version
# SD-WAN Controller でのバージョン確認
show version具体的な修正バージョンは以下の Cisco アドバイザリで確認してください:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk
管理プレーンへのアクセス制限(緩和策)
パッチ適用が完了するまでの間、以下の緩和策を実施してください。
# SD-WAN Manager の管理インターフェース(UDP 12346)を
# 信頼済みホスト・管理セグメントのみに制限する
# ファイアウォールルール例(iptables)
iptables -A INPUT -p udp --dport 12346 -s <管理用サブネット> -j ACCEPT
iptables -A INPUT -p udp --dport 12346 -j DROP侵害確認の手順
Cisco が提供する IoC(侵害の痕跡)チェックリストを参照し、すでに侵害されていないかを確認してください。
# SD-WAN Controller でコントロールコネクションを確認
show control connections
# 予期しない接続元 IP や vHub エントリがないか確認
show control connections history
# 管理者ユーザー一覧を確認(不審なアカウントがないか)
show users不審なエントリが見つかった場合は、Cisco TAC への連絡と admin-tech バンドルの提出が推奨されます。
侵害後のハンティング項目
~/.ssh/authorized_keysへの予期しない SSH 公開鍵の追加- NETCONF 経由での設定変更ログ
- 管理者権限アカウントの新規作成
- 特定期間のログ欠落(ログクリアの痕跡)
確認方法
# 影響を受けるバージョンの確認(SD-WAN Manager)
# Cisco アドバイザリの fixed release 表と照合する
show version | include Version
# コントロールコネクションの接続元確認
show control connections | include vHubまとめ
CVE-2026-20182 は CVSS 10.0 という最高スコアを持つ、Cisco Catalyst SD-WAN の重大な認証バイパス脆弱性です。
回避策が存在しないため、パッチ適用が唯一の根本対策となります。
すでに UAT-8616 による実際の悪用が確認されており、CISA KEV にも掲載されていることから、Cisco SD-WAN 環境を運用するすべての組織は最優先で対応してください。
パッチ適用前の緩和策として、管理ポートへのアクセスを信頼済みセグメントのみに制限し、不審なコントロールコネクションや SSH キーの有無を確認することを強く推奨します。
参考リンク
- NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-20182
- Cisco Security Advisory:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk
- CISA KEV:https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- Cisco Talos Blog:https://blog.talosintelligence.com/sd-wan-ongoing-exploitation/
コメント