本稿では、Ciscoが2026年3月5日に更新したCatalyst SD-WAN Managerのセキュリティアドバイザリ(cisco-sa-sdwan-authbp-qwCX8D4v)について、新たに野生での悪用が確認された2件の脆弱性(CVE-2026-20122、CVE-2026-20128)を中心に、同アドバイザリに含まれる計5件の脆弱性の全体像と実務上の対応を整理します。本サイトでは先日、Cisco Catalyst SD-WAN Controller / Managerの認証バイパス脆弱性CVE-2026-20127(CVSS 10.0)について別アドバイザリ(cisco-sa-sdwan-rpa-EHchtZk)の内容を解説しました。今回は、それとは別のSD-WAN Manager向けアドバイザリで新たに悪用確認が追加された続報を扱います。
3月5日のアドバイザリ更新:2件の悪用確認が追加
Ciscoは2026年2月25日に公開したCatalyst SD-WAN Managerのセキュリティアドバイザリ(cisco-sa-sdwan-authbp-qwCX8D4v)を、3月5日付でバージョン1.1に更新しました(Cisco公式アドバイザリ)。
更新の要点は、同アドバイザリに含まれる脆弱性のうちCVE-2026-20122およびCVE-2026-20128の2件について、野生での悪用(active exploitation)が確認されたことです。Cisco PSIRTは「2026年3月に、CVE-2026-20128およびCVE-2026-20122に記載された脆弱性の悪用を認識した」と述べています(BleepingComputer、2026年3月5日)。
Ciscoは、この2件の悪用の規模や攻撃者の身元については詳細を公表していません。先週、別アドバイザリ(cisco-sa-sdwan-rpa-EHchtZk)で公開されたCVE-2026-20127の悪用がUAT-8616(Cisco Talosが追跡する高度な脅威アクター)に帰属されているのに対し、今回の2件との関連は明らかにされていません。
新たに悪用が確認された2件の技術的詳細
CVE-2026-20122:任意ファイル上書き(CVSS 7.1)
Catalyst SD-WAN ManagerのAPIにおける不適切なファイル処理に起因する脆弱性です。認証済みのリモート攻撃者がローカルファイルシステム上の任意のファイルを上書きし、vmanageユーザー権限を取得できます。
前提条件:悪用には、対象システム上の有効なread-only認証情報とAPIアクセスが必要です。別アドバイザリのCVE-2026-20127のように未認証のリモート攻撃が可能なわけではなく、何らかの認証情報を事前に取得している必要があります。
CVE-2026-20128:情報漏洩(CVSS 5.5)
Catalyst SD-WAN ManagerのData Collection Agent(DCA)機能に存在する脆弱性です。認証済みのローカル攻撃者がファイルシステム上のDCAユーザーのパスワードファイルを読み取り、そのパスワードを使って別のシステムにDCAユーザーとしてアクセスできます。
前提条件:悪用には、対象システム上の有効なvmanage認証情報が必要であり、ローカルアクセスが前提です。
同一アドバイザリに含まれる残り3件の脆弱性
3月5日時点で悪用は確認されていませんが、同一アドバイザリには以下の3件も含まれています。いずれも有効な回避策(ワークアラウンド)は存在せず、ソフトウェアアップデートによる恒久対応が必須です。
CVE-2026-20129(CVSS 9.8、Critical):API認証バイパスの脆弱性です。未認証のリモート攻撃者が細工したリクエストを送信し、netadmin権限でコマンドを実行できます。認証不要でリモートから管理者権限を奪取できる深刻な脆弱性です。Catalyst SD-WAN Managerリリース20.18以降は影響を受けません。
CVE-2026-20126(CVSS 7.8、High):REST APIの不十分なユーザー認証に起因する権限昇格の脆弱性です。低権限のローカル攻撃者がroot権限を取得できます。
CVE-2026-20133(CVSS 7.5、High):ファイルシステムのアクセス制限が不十分であることに起因する情報漏洩の脆弱性です。未認証のリモート攻撃者がAPI経由で機密情報を読み取れます。
5件の脆弱性を俯瞰する:防御設計上の観点
Ciscoは「これらの脆弱性は相互に依存しておらず、1つの脆弱性の悪用が別の脆弱性の悪用に必要となるものではない」と明記しています。3月5日時点で悪用が確認されているのはCVE-2026-20122とCVE-2026-20128の2件のみであり、残り3件については野生での悪用は報告されていません。
一方で、防御設計の観点では、これらが同一システム上に同時に存在するという事実を踏まえ、攻撃者がこれらを段階的に組み合わせるリスクも想定しておくべきです。さらに、別アドバイザリのCVE-2026-20127のような認証バイパスでSD-WAN環境への足掛かりを得た攻撃者が、今回のManager側の脆弱性(権限昇格・情報取得)を使って横展開するシナリオも考えられます。実際にこのような連鎖が行われたかどうかはCiscoから公表されていませんが、同一製品群に対する関連アドバイザリをまとめて対処する必要性を示しています。
影響を受けるバージョンと対応
これらの脆弱性はCatalyst SD-WAN Managerのデバイス構成に関係なく影響します。CVE-2026-20128およびCVE-2026-20129については、Ciscoがリリース20.18以降は影響を受けないことを確認しています。一方、アドバイザリ全体への対処には、CVEごとに個別の固定リリースを確認する必要があります。すべての脆弱性に対するワークアラウンドは存在しません。
必須対応:固定ソフトウェアリリースへのアップグレード
Ciscoが案内する固定リリースへのアップグレードが必須です。リリース20.9系以前を使用している場合は、サポート対象の固定リリースへの移行が必要です。Ciscoのアドバイザリに記載されたFixed Softwareセクションで、使用中のバージョンに対応する固定リリースを確認してください。
追加のハードニング対策
今回の5件にはワークアラウンドがありません。そのうえで、CiscoのCVE-2026-20127向け緩和策やHardening Guideでは、以下の追加対策も推奨されています。
ネットワーク制限:Catalyst SD-WAN Managerをファイアウォールの背後に配置し、非セキュアなネットワークからのアクセスを制限します。管理ポータルのHTTPアクセスの無効化や、不要なネットワークサービス(HTTP、FTP)の停止も推奨されています。
認証情報の管理:デフォルトの管理者パスワードを変更し、CVE-2026-20128で露出するDCAパスワードが変更済みであることを確認します。
ログ監視:システムへの予期しないトラフィックを監視します。CVE-2026-20127に関してCiscoが推奨した/var/log/auth.logの「Accepted publickey for vmanage-admin」エントリの確認も、同時期のSD-WAN侵害を確認する補助的な観点として有効です。
実務視点での考察:CVSSスコアだけでなく関連アドバイザリ群をまとめて追う
中重度の脆弱性も野生で悪用されている
先週のCVE-2026-20127(CVSS 10.0)は、Five Eyes共同対応やCISA緊急指令(ED 26-03)を伴う大きな注目を集めました。しかし、今回の更新で明らかになったのは、同じSD-WAN Manager製品の別アドバイザリに含まれるCVSS 7.1とCVSS 5.5の脆弱性も既に悪用されていたという事実です。
特にCVE-2026-20128(CVSS 5.5)は「Medium」に分類されており、重大度ベースのトリアージでは優先度が下がりやすい脆弱性です。しかし実際には野生での悪用が確認されています。攻撃者はCVSSスコアに関係なく、有用な脆弱性を組み合わせて利用します。
CVE-2026-20127対応済みの組織が確認すべきこと
先週のCVE-2026-20127に対応してパッチを適用した組織であっても、今回の5件は別アドバイザリ(cisco-sa-sdwan-authbp-qwCX8D4v)に含まれるため、追加の確認が必要です。
まず、CVE-2026-20127の深刻度(CVSS 10.0)のみに注目して対応を完了したと認識している場合、今回の5件を含む別アドバイザリの固定リリース要件を満たしているかを改めて確認する必要があります。
次に、CVE-2026-20122とCVE-2026-20128は認証済みの攻撃者を前提としていますが、CVE-2026-20127の悪用によって認証情報が既に窃取されている場合、この前提条件は事実上充足されます。先週の記事で解説した通り、CVE-2026-20127の悪用は2023年まで遡る可能性があるため、長期間にわたって認証情報が漏洩している可能性も考慮すべきです。
最後に、CISA緊急指令ED 26-03との関係です。3月5日が詳細インベントリと対応状況の報告期限でしたが、同日に新たな悪用が確認されたことで、対応範囲の再評価が必要になる可能性があります。
参考情報
- Cisco ― “Cisco Catalyst SD-WAN Vulnerabilities”(アドバイザリ cisco-sa-sdwan-authbp-qwCX8D4v v1.1、2026年3月5日更新)
- Cisco Talos ― “Active exploitation of Cisco Catalyst SD-WAN by UAT-8616″(CVE-2026-20127に関する分析、別アドバイザリ cisco-sa-sdwan-rpa-EHchtZk)
- BleepingComputer ― “Cisco flags more SD-WAN flaws as actively exploited in attacks”(2026年3月5日)
- The Hacker News ― “Cisco Confirms Active Exploitation of Two Catalyst SD-WAN Manager Vulnerabilities”(2026年3月5日)
- Help Net Security ― “Cisco warns of SD-WAN Manager exploitation, fixes 48 firewall vulnerabilities”(2026年3月5日)
- CISA ― “ED 26-03: Mitigate Vulnerabilities in Cisco SD-WAN Systems”
コメント