概要
Ciscoは2026年3月、エンタープライズ向けWAN管理プラットフォームであるCatalyst SD-WAN Manager(旧vManage)において、2件の脆弱性が実環境で積極的に悪用されていることを公式に確認した。対象となる脆弱性はCVE-2026-20122(CVSS 7.1)とCVE-2026-20128(CVSS 5.5)で、いずれも認証済みの攻撃者を前提とするが、侵害済みの認証情報を持つ攻撃者によって組み合わせて悪用される可能性がある。CiscoはPSIRT(製品セキュリティ インシデント レスポンス チーム)を通じて顧客に修正済みバージョンへの早急なアップグレードを強く求めている。
脆弱性の詳細
CVE-2026-20122(CVSS 7.1、高)は、Catalyst SD-WAN Manager APIに存在する任意ファイル上書き脆弱性だ。読み取り専用のAPI認証情報を持つリモート攻撃者が、ローカルファイルシステム上の任意ファイルを上書きできる。権限昇格への踏み台となるため、実害が大きい。
CVE-2026-20128(CVSS 5.5、中)は、Data Collection Agent(DCA)機能に起因する情報開示・権限昇格の脆弱性だ。有効なvManage認証情報を持つローカルの認証済み攻撃者が、DCAユーザー権限を取得できる。
なお、今回の公開と同時に、認証バイパスが可能なCVE-2026-20127(CVSS 10.0)の修正も行われた。この脆弱性は2023年以降ゼロデイとして悪用されており、攻撃者がコントローラーを侵害し不正なピアをネットワークに追加できるものだ。今回の2件と組み合わせた攻撃チェーンへの警戒が必要である。
影響を受けるバージョンと修正版
修正済みバージョンは以下のとおり。
| リリースライン | 修正バージョン |
|---|---|
| 20.9.x | 20.9.8.2 |
| 20.11.x | 20.12.6.1 |
| 20.13〜20.15 | 20.15.4.2 |
| 20.12.x | 20.12.5.3 / 20.12.6.1 |
| 20.16〜20.18 | 20.18.2.1 |
上記より古いバージョンは修正済みリリースへの移行が必要となる。
推奨される対策
Ciscoは修正済みバージョンへのアップグレードを最優先とした上で、以下の追加緩和策を推奨している。
- 管理ポータルへのHTTPアクセス無効化およびファイアウォールによる保護
- 不要なサービス(HTTP/FTP)の無効化
- 認証情報のローテーション
- ネットワークトラフィックの継続的な監視
米国CISAも連邦政府機関向けに緊急指令を発行し、影響対象システムのインベントリ化、フォレンジック情報の収集、期限内のパッチ適用を義務付けた。SD-WAN Managerは広範な企業ネットワークの中核を担う重要インフラであり、侵害が確認された場合の影響範囲は甚大になることから、未対応の組織は直ちに対処することが求められる。