概要
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は2026年5月14日、Cisco Catalyst SD-WAN Controller(vSmart)およびManager(vManage)に存在する認証バイパスの脆弱性CVE-2026-20182を、既知悪用脆弱性(KEV)カタログに追加した。本脆弱性のCVSSスコアは最高値の10.0であり、認証なしのリモート攻撃者が影響を受けるシステムで管理者権限を取得できる極めて深刻な欠陥だ。CISAはBOD 22-01に基づき、連邦民間行政機関(FCEB)に対して2026年5月17日までの修正完了を義務付けている。
技術的な詳細
この脆弱性は、vdaemonサービスのピアリング認証機能に存在し、UDP 12346番ポートのDTLS通信を通じて悪用される。攻撃者は細工したリクエストを送信することで認証機構を回避し、以下の操作が可能となる。
- 認証なしでの管理者権限取得
- 高権限の内部アカウントへのアクセス
- NETCONFサービスへのアクセスとSDファブリック全体のネットワーク設定変更
- 持続的アクセスのためのSSHキーの埋め込み
Cisco PSIRTは2026年5月に限定的な実環境での悪用を検出しており、本脆弱性は以前に悪用が確認されたCVE-2026-20127と類似した性質を持ちつつも、同一の脆弱性とは別個の問題だとしている。
攻撃の実態
脅威アクタークラスタUAT-8616がCVE-2026-20182を積極的に悪用していることが確認されている。同グループは以前にCVE-2026-20127の武器化にも関与していた。侵害後の活動としては、SSHキーの挿入、NETCONF設定の改ざん、root権限への特権昇格などが報告されている。
また、少なくとも10の独立した脅威クラスタが、公開されている概念実証(PoC)コードを利用して関連脆弱性(CVE-2026-20133、CVE-2026-20128、CVE-2026-20122)を悪用し、Godzilla・Behinder・XenShellといった複数のWebシェルを展開して任意のコマンド実行を行っていることも判明している。
推奨される対応
Ciscoは関連するセキュリティアドバイザリの指示に従い、固定済みソフトウェアバージョンへの速やかなアップグレードを推奨している。また、組織はSD-WANインフラに対して不正侵害の痕跡がないかを調査することも強く推奨されている。連邦機関に限らず、Cisco Catalyst SD-WAN環境を運用するすべての組織が早急な対処を行う必要がある。