2026年2月25日にCiscoが公開したCatalyst SD-WANの認証バイパス脆弱性 CVE-2026-20127(CVSS 10.0)について解説する。Cisco Talosによれば、本脆弱性の悪用痕跡は2023年まで遡り、Five Eyes共同のハントガイドではゼロデイとしての特定は2025年後半であったと報告されている。CISAは緊急指令 ED 26-03 を発令し、連邦民間行政機関(FCEB)へ2026年2月27日までの対応を義務づけた。SD-WAN運用に関わるインフラエンジニア向けに、一次ソースに基づき確認すべき情報を整理する。
何が起きたのか
Ciscoは2026年2月25日、Cisco Catalyst SD-WAN Controller(旧vSmart)およびCisco Catalyst SD-WAN Manager(旧vManage)に存在するCVE-2026-20127のセキュリティアドバイザリ(cisco-sa-sdwan-rpa-EHchtZk)を公開した。NVDによるCVSSスコアは10.0。認証されていないリモート攻撃者が細工されたリクエストにより認証を回避し、高権限の非rootユーザーとしてログイン可能となる。
根本原因はピアリング認証メカニズムの不備であり、デバイス構成に関係なく影響を受ける。影響リリース系列はカナダCyber Centre(AL26-004)等により20.9系〜20.18系で特定されている。20.9より前を含め、保守終了バージョンは修正リリースへの移行が必要となる。
発見元はオーストラリアASD傘下のACSC。Cisco Talosは本件の脅威アクターを「UAT-8616」として追跡しており、国家への帰属は公表されていない。
UAT-8616が実行した攻撃チェーン
Cisco TalosおよびFive Eyes共同ハントガイドに基づく、UAT-8616の攻撃手順は以下の通り。
ステップ1:初期アクセス(CVE-2026-20127、リモート・未認証)
ピアリング認証の不備を突き、高権限の非rootユーザーとしてコントローラへログインする。
ステップ2:不正ピアの追加
SD-WANの管理プレーン・コントロールプレーンに不正なピア(rogue peer)を追加する。不正ピアはVPN 512(管理プレーン)上のIPアドレスを受け取り、管理プレーン内のデバイスと直接通信可能な状態を確立する。
ステップ3:バージョンダウングレードと権限昇格(CVE-2022-20775)
コントローラのソフトウェアバージョンを意図的にダウングレードし、2022年に修正済みのパストラバーサル脆弱性 CVE-2022-20775(CVSS 7.8、ローカル認証後の権限昇格)を復活させる。ステップ1〜2で得たアクセスを前提にこの脆弱性を悪用してroot権限を取得し、その後元のバージョンへ復元する。
ステップ4:永続化と痕跡の消去
root権限取得後、以下の操作で永続化と隠蔽を図る。
- ローカルユーザーアカウントの作成、SSHキーの埋め込み(vmanage-adminおよびrootの authorized_keys)
- PermitRootLogin の有効化、SD-WAN関連スタートアップスクリプトの変更
- /var/log 配下のログ消去、コマンド履歴の削除
- vManageのElasticsearchデータベースから不正ピア関連エントリの削除
- syslog転送用ネットワークインターフェースの無効化
観測事実: ハントガイドによれば、観測された活動はSD-WANコンポーネント内に限定されており、SD-WAN外へのラテラルムーブメントは確認されていない。C2マルウェアも未発見であり、UAT-8616はゼロデイの再悪用によるインタラクティブセッションとローカルアカウントで永続性を維持していた。
各国政府機関の対応
CISA(米国):緊急指令 ED 26-03 を発令。FCEBに対し、2026年2月27日 17:00(米国東部時間)までのパッチ適用を義務づけた。補足指令では、root侵害が確認された場合にパッチ済みイメージからの新規デプロイ(エッジの移行含む)を求めているとされる(CISAサイトはアクセス制限がかかる場合があるため、原文はリンク先を参照)。
ASD-ACSC(オーストラリア)等:CISA、NSA、英国NCSC等と共同で41ページの脅威ハントガイドを公開した。
なお、CUInfoSecurityの報道によると、本指令はDHS(国土安全保障省)のシャットダウン期間中に発令された。CISAのNick Andersen サイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターは、脅威アクターによる活発な悪用が観測されていたため、シャットダウン終了を待つ選択肢は「取り得なかった(was not an option)」と述べている。
実務視点での分析
ログベースの検知をすり抜ける手口
SD-WANのコントロールプレーンは一般的なEDRの監視対象外になりやすい。加えてUAT-8616はsyslog転送インターフェースの無効化やElasticsearchからの証拠削除を徹底しており、ログベースの事後検知も困難にしていた。ハントガイドが「ピアリングイベントの頻度分析」や「ロールバックファイルのシーケンス番号リセット」を検知手法として推奨しているのは、従来のログ監視では捕捉しにくい領域だからである。
パッチだけでは終わらない
悪用痕跡が2023年まで遡る以上、単純なパッチ適用では埋め込まれたSSH鍵やローカルアカウントを排除できない。CISA ED 26-03がroot侵害確認時にクリーン再構築を求めている点は、パッチ適用と並行して侵害調査が必須であることを意味する。
影響を受ける環境と対応策
影響を受ける製品(Ciscoアドバイザリより):
- Cisco Catalyst SD-WAN Controller(旧vSmart)
- Cisco Catalyst SD-WAN Manager(旧vManage)
- オンプレミス、SD-WAN Cloud(Cisco Managed含む)、FedRAMP環境のいずれも対象
影響リリースと修正版(カナダCyber Centre AL26-004 より):
| 影響リリース | 修正版 | 備考 |
|---|---|---|
| 20.9より前 | 修正リリースへ移行 | 保守終了 |
| 20.9 | 20.9.8.2 | 2026年2月27日リリース予定 |
| 20.11 | 20.12.6.1 | 保守終了 |
| 20.12.5 | 20.12.5.3 | |
| 20.12.6 | 20.12.6.1 | |
| 20.13 | 20.15.4.2 | 保守終了 |
| 20.14 | 20.15.4.2 | 保守終了 |
| 20.15 | 20.15.4.2 | |
| 20.16 | 20.18.2.1 | 保守終了 |
| 20.18 | 20.18.2.1 |
※バージョン情報は更新される可能性があるため、必ずCisco公式アドバイザリで最新を確認のこと。
ハントガイドに基づく主な検知観点:
- ピアリングイベントの異常(peer-typeに「vhub」等の想定外の値、peer-system-ipの低頻度クラスタ)
- /var/log/auth.log で不明IPからの「Accepted publickey for vmanage-admin」または「Accepted publickey for root」
- ソフトウェアダウングレードの痕跡(vdebugログ内の「cdb Set software」+旧バージョンへの変更)
- ロールバックファイルのシーケンス番号リセット(transactionidカウンタの異常な巻き戻り)
- 異常に小さいログファイル(0〜2バイト)、bash_historyとcli-historyの不整合
対応の優先順位:
- SD-WANシステムの棚卸しと影響対象の特定
- ログの外部保存の確認(syslog転送インターフェースのステータス確認)
- フォレンジック証拠の保全(仮想スナップショット等)
- ハントガイドに基づく脅威ハンティングの実施
- パッチの適用
- root侵害が確認された場合はクリーン再構築
- Cisco Catalyst SD-WAN Hardening Guide に基づくハードニング
参考情報
- Cisco Security Advisory: cisco-sa-sdwan-rpa-EHchtZk(CVE-2026-20127)
- Cisco Talos: Active exploitation of Cisco Catalyst SD-WAN by UAT-8616
- CISA Emergency Directive 26-03
- ASD-ACSC: Exploitation of Cisco SD-WAN appliances
- Five Eyes共同 Cisco SD-WAN Threat Hunt Guide(41ページ、PDF)
- カナダ Cyber Centre AL26-004
- NVD: CVE-2026-20127
- NVD: CVE-2022-20775
コメント