Ciscoは2026年6月4日、Catalyst SD-WAN Manager(旧称:SD-WAN vManage)に未パッチのゼロデイ脆弱性 CVE-2026-20245 が存在し、限定的ながら実環境で悪用が観測されていると公式アドバイザリで警告しました。CVSSスコアは7.8(High)で、認証済みかつnetadmin権限を持つローカル攻撃者が細工したファイルをアップロードすることで、root権限で任意コマンドを実行できる可能性があります。Ciscoは「限定的なケースで、本脆弱性の悪用がエッジデバイスへの設定変更プッシュにつながった」ことを公式に観測しており、修正パッチもワークアラウンドも本稿確認時点で提供されていません。Ciscoは関連する認証バイパス脆弱性 CVE-2026-20182(2026年5月14日修正)向けのソフトウェアアップグレード適用を当面の対処として推奨しています。
本件は、The Hacker Newsの整理では、2026年に入って悪用が報告・警告されたCisco SD-WAN関連脆弱性として7件目にあたります。この数には、2026年公表のCVEだけでなく、既存脆弱性であるCVE-2022-20775も含まれます。前提となり得る認証バイパス脆弱性のうち、CVE-2026-20127を含むCisco SD-WAN脆弱性群は、少なくとも2023年以降、洗練された脅威アクター UAT-8616 により悪用されてきたと報告されており、本件はそうした既存侵害環境からの権限昇格チェーンに組み込まれるリスクがあります。
脆弱性の概要と影響
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-20245 |
| Cisco Security Advisory ID | cisco-sa-sdwan-privesc-4uxFrdzx(本稿確認時点でVersion 1.2、ステータス:Interim、Last Updated 2026年6月5日) |
| Cisco Bug ID | CSCwu18563 |
| CVSS 3.1 | 7.8(High) |
| CWE | CWE-116(Improper Encoding or Escaping of Output) |
| 初回公開 | 2026年6月4日 22:27 GMT |
| 対象製品 | Cisco Catalyst SD-WAN Manager(旧称:SD-WAN vManage) |
| 対象デプロイメント | On-Prem Deployment、Cisco SD-WAN Cloud-Pro、Cisco SD-WAN Cloud(Cisco Managed)、Cisco SD-WAN for Government(FedRAMP)の全構成 |
| 攻撃要件 | 認証済み・ローカル、netadmin権限。netadmin取得には有効な認証情報、またはCVE-2026-20182 / CVE-2026-20127の悪用が必要 |
| 影響 | root権限での任意コマンド実行につながる可能性。Ciscoは限定的なケースでエッジデバイスへの設定変更プッシュが観測されたことを公式に確認 |
| パッチ | 本稿確認時点(2026年6月7日)で提供なし。ワークアラウンドもなし |
| 推奨対処 | CVE-2026-20182のソフトウェア修正版へのアップグレード、エッジデバイスの設定検証 |
| 発見・報告 | MandiantのChester Sng氏、Pete Boonyakarn氏、Logeswaran Nadarajan氏(Cisco公式謝辞) |
| CISA KEV登録 | 本稿確認時点でCVE-2026-20245自体のKEV登録は確認できず。なお、関連するCVE-2026-20182、CVE-2026-20127、CVE-2026-20133、CVE-2026-20128、CVE-2026-20122などはKEV登録済み |
技術的詳細:CLIにおける入力検証不足からroot権限取得まで
Cisco公式アドバイザリ(cisco-sa-sdwan-privesc-4uxFrdzx)によれば、本脆弱性はCisco Catalyst SD-WAN ManagerのCLIに存在し、ユーザー提供入力の検証不足に起因します。攻撃者は細工したファイルを対象システムにアップロードすることで、コマンドインジェクション攻撃を実行可能で、最終的にroot権限まで昇格できる可能性があります。
Ciscoの説明では、本脆弱性を悪用するには攻撃者がnetadmin権限を持つ必要があります。netadmin権限の取得には次のいずれかが必要です。
- 有効な認証情報の保有
- CVE-2026-20182(SD-WAN Controller/Manager peering 認証バイパス、CVSS 10.0)の悪用
- CVE-2026-20127(SD-WAN Controller/Manager 認証バイパス、CVSS 10.0)の悪用
Ciscoは「これら以外の方法による悪用成功は把握していない」と説明しています。本脆弱性単体では権限昇格にとどまるものの、上記の認証バイパス系脆弱性と組み合わせることで、認証なしでのインターネット越しの完全侵害から、root権限取得・エッジデバイス設定変更へとつながる攻撃チェーンが成立します。
悪用観測の実態とCisco公式IoC
Cisco公式アドバイザリの「Exploitation and Public Announcements」セクションには「2026年6月、Cisco PSIRT(Product Security Incident Response Team)が本脆弱性の悪用を認知した」と明記されています。Summaryセクションでも「限定的なケースで、本脆弱性の悪用がエッジデバイスへの設定変更プッシュにつながったことを観測している」と記載されています。SD-WAN Managerは複数拠点のエッジデバイスを中央集権的に管理するコントロールプレーンであるため、そこからの不正な設定変更プッシュは単独のサーバー侵害を超えて、組織全体のネットワーク経路や通信ポリシーに影響を及ぼします。
Cisco公式アドバイザリは、Indicators of Compromiseとして /var/log/scripts.log ファイルの監査を顧客に推奨しており、以下のようなエントリ例を提示しています。
Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number:
/usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
Jun 5 13:06:39 Manager vScript: vSmart upload serial numbers:
/usr/bin/vconfd_script_upload_vsmart_serial_numbers.sh -cli path
/home/admin/vsmart_serial_numbers_safe.csv
Jun 5 13:08:47 Validator vScript: ZTP upload chassis numbers:
/usr/bin/vconfd_script_upload_chassis_number_file.sh -cli path
/home/admin/chassis_numbers_safe.csv
ただし極めて重要な注意事項として、Ciscoはアドバイザリ内で「これらは正当なコマンドであり、ログは正当な使用と悪意ある使用を区別しない(These are legitimate commands, and the logs will not distinguish between legitimate and malicious use)」と明記しています。当該ログエントリの存在は直ちに侵害を意味するものではなく、通常運用でも記録される性質のものです。観測されたログの起源や意図が不明な場合は、Cisco TACに問い合わせる必要があります。
Ciscoはまた、SD-WAN Managerがインターネットに露出し管理ポートが外部公開されているシステムは侵害リスクが高いとし、IoCの評価にあたっては「通常のネットワーク運用状態と突き合わせて誤検知を回避する」よう求めています。
2026年のCisco SD-WAN脆弱性連鎖の整理
背景として、Cisco SD-WAN製品群は2026年に入って継続的に悪用されてきました。主要なものを並べると次のとおりです。
| CVE | 概要 | 状況 |
|---|---|---|
| CVE-2026-20127 | Catalyst SD-WAN Controller/Manager 認証バイパス(CVSS 10.0) | 2026年2月25日に公表・修正。2023年以降、UAT-8616による悪用が確認されており、同日にNSA・CISA・ACSC等のJoint Cybersecurity Advisoryも発出 |
| CVE-2026-20133 | Catalyst SD-WAN Manager 情報開示 | 2026年2月修正、4月に悪用確認が追記され、CISA KEVにも追加 |
| CVE-2026-20128, CVE-2026-20122 | SD-WAN Manager到達系の脆弱性チェーン | 2026年3月に悪用確認が追記され、4月20日にCISA KEVへ追加 |
| CVE-2026-20182 | SD-WAN Controller/Manager peering 認証バイパス(CVSS 10.0) | 2026年5月14日修正、CISA Emergency Directive 26-03(3日期限)の対象 |
| CVE-2026-20245 | 本件、SD-WAN Manager CLI 権限昇格(CVSS 7.8) | 2026年6月4日公開、本稿確認時点で未パッチ |
攻撃アクターUAT-8616と公開PoC後の追従
Tenableの調査ブログによれば、UAT-8616と呼ばれる洗練された脅威アクターは、遅くとも2023年からCisco SD-WAN脆弱性を悪用しており、CVE-2026-20127のゼロデイ運用が確認されています。さらに、公開PoCコードが出回って以降、10以上の追加脅威クラスターがSD-WAN系脆弱性の悪用を開始しています。
2026年2月には、米国NSA、CISA、オーストラリアACSC等の連名で「Exploitation of Cisco SD-WAN appliances」と題するJoint Cybersecurity Advisoryが発行され、攻撃者がCVE-2026-20127の悪用後にrogue peer(不正なピア)の追加とroot権限取得を経て長期的な永続化を確立する手口が解説されました。
今回のCVE-2026-20245は、こうした既存の悪用エコシステムに「認証済みからroot権限取得まで」のフェーズを補強するパーツとして機能します。Ciscoが推奨対処として「まずCVE-2026-20182修正版へのアップグレードを」と案内しているのも、根底にある認証バイパス経路を塞ぐことで、本脆弱性の前提条件であるnetadmin権限取得を困難にする狙いがあります。
実務者が確認すべき項目
Cisco Catalyst SD-WAN Managerを運用している場合、以下の対処を推奨します。
- 証拠保全(パッチ適用前):各SD-WANコントロールコンポーネントで
request admin-techコマンドを実行し、ログを退避させる。修正適用後にログがローテーションや上書きで失われると、コントロールプレーン侵害の確認が困難になる。Cisco公式アドバイザリでも、upgrade前のadmin-tech取得が「Important」として強調されている - CVE-2026-20245固有IoCの確認:
/var/log/scripts.logを監査し、Cisco公式が示すvconfd_script_upload_tenant_list.sh、vconfd_script_upload_vsmart_serial_numbers.sh、vconfd_script_upload_chassis_number_file.sh等のエントリを確認。ただし、これらは正当なコマンドでもあり、ログ自体では正当・悪意の区別ができない。不審な場合はCisco TACへの問い合わせが必須 - 関連する認証バイパス侵害の確認:
/var/log/auth.logでAccepted publickey for vmanage-adminエントリと送信元IPを確認し、正規の管理IP・System IPと突き合わせる。未知IPからの認可が記録されている場合、CVE-2026-20182またはCVE-2026-20127経由の侵害可能性を疑う(この項目はCVE-2026-20245のIoCではなく、関連アドバイザリ cisco-sa-sdwan-rpa2-v69WY2SW のIoC) - CVE-2026-20182修正版へのアップグレード:Ciscoの推奨対処として、cisco-sa-sdwan-rpa2-v69WY2SW(2026年5月14日)記載の修正ソフトウェアにアップグレード。CISA Emergency Directive 26-03の対象でもあり、未対応の場合はこちらを優先
- エッジデバイス設定の検証:不正な設定変更が中央からプッシュされていないか、エッジデバイスの実構成を確認
- インターネット露出の遮断:SD-WAN Managerの管理インターフェースを公開インターネットから分離。UDP 12346・TCP 830等の管理用ポートへの外部アクセスはACLでブロック
- 侵害確認時の対応:侵害が疑われる場合、ソフトウェアアップデートのみでは復旧として不十分な可能性がある。Cisco TACへケースをオープンし、環境に応じた個別ガイダンスを得る
- アドバイザリ更新の継続確認:本アドバイザリは本稿確認時点でVersion 1.2、ステータス:Interimであり、今後Fixed Software情報やIoCが追加される可能性がある。定期的に公式アドバイザリを再確認する運用が必要
本脆弱性単体でのリモート無認証悪用は不可能ですが、SD-WAN Managerの管理プレーンをインターネットに直接露出させている構成や、認証情報の盗取・既知の認証バイパス脆弱性の未修正環境は、攻撃チェーン全体として高リスク状態にあります。複数のCVEを連鎖させる現代のSD-WAN攻撃面に対し、「個別CVEのパッチ状況だけでなくチェーン全体としての防御」を点検する運用が必要です。
一次情報・公式情報
- Cisco Security Advisory: Cisco Catalyst SD-WAN Manager Authenticated Privilege Escalation Vulnerability(cisco-sa-sdwan-privesc-4uxFrdzx、CVE-2026-20245)
- Cisco Security Advisory: Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability(cisco-sa-sdwan-rpa2-v69WY2SW、CVE-2026-20182)
- CISA Emergency Directive 26-03: Mitigate Vulnerabilities in Cisco SD-WAN Systems
- Joint Cybersecurity Advisory: Exploitation of Cisco SD-WAN appliances(NSA・CISA・ACSC等、2026年2月)
参考情報
- Cisco Catalyst SD-WAN Manager CVE-2026-20245 Flaw Actively Exploited – No Patch Available – The Hacker News
- Cisco warns of unpatched SD-WAN zero-day exploited in attacks – BleepingComputer
- Cisco SD-WAN 0-day exploited, no patch available (CVE-2026-20245) – Help Net Security
- FAQ about the continued exploitation of Cisco Catalyst SD-WAN vulnerabilities (UAT-8616) – Tenable
- CVE-2026-20245: Cisco SD-WAN Manager Zero-Day Enables Root Command Execution – SOCPrime
- Cisco SD-WAN Security Flaw Actively Exploited for Root-Level Command Execution – GBHackers
slug: cisco-sdwan-cve-2026-20245-privesc
コメント