概要
Ciscoは2026年6月初旬、Catalyst SD-WAN Manager(旧SD-WAN vManage)に存在する高深刻度の脆弱性CVE-2026-20245(CVSS 7.8)が実際の攻撃に悪用されていることを確認した。この脆弱性は不十分な入力検証に起因するコマンドインジェクションであり、netadmin権限を持つ認証済み攻撃者が細工されたファイルをアップロードすることでroot権限による任意コマンドの実行が可能になる。Ciscoは一部のケースでエッジデバイスへの設定変更が行われたことを確認しているが、今回の悪用を行った脅威アクターは特定されていない(関連する認証回避脆弱性CVE-2026-20127については、脅威活動クラスタUAT-8616が2023年から悪用してきたとされる)。現時点でCiscoはこの脆弱性に対するパッチを提供しておらず、回避策の適用が急務となっている。
攻撃チェーンと技術的詳細
この脆弱性の悪用には段階的な攻撃チェーンが用いられていることが確認されている。攻撃者はまずCVSS 10.0(最大値)の認証回避脆弱性CVE-2026-20182、またはCVE-2026-20127を利用して初期アクセスを獲得し、netadmin権限を手に入れる。その後、CVE-2026-20245を悪用して細工されたファイルをシステムにアップロードし、コマンドインジェクションによりrootとして任意のコマンドを実行する流れだ。
影響を受けるのはオンプレミス展開に加え、Cisco SD-WAN Cloud-Pro、Cisco SD-WAN Cloud(Cisco Managed)、Cisco SD-WAN for Government(FedRAMP)と幅広い展開形態に及ぶ。侵害の確認には /var/log/scripts.log の不審なエントリを調査することが推奨されており、ネットワーク管理者は早急なログ確認が求められる。
回避策と推奨対応
Ciscoはパッチが用意できていない現状を踏まえ、CVE-2026-20182の修正を含むSD-WANソフトウェアバージョンへのアップグレードを暫定的な対策として推奨している。攻撃チェーンの起点となるCVE-2026-20182を封じることで、CVE-2026-20245への到達そのものを困難にする狙いだ。一連の脆弱性は連鎖して悪用されるケースが確認されているため、組織は影響を受けるシステムの特定とアップグレード計画の策定を急ぐ必要がある。エンタープライズネットワークの根幹を担うSD-WANインフラを標的とする攻撃が現実に進行中であり、対応を先送りにするリスクは高い。