概要

Ciscoは2026年5月15日、Catalyst SD-WANシリーズに存在する認証バイパス脆弱性(CVE-2026-20182)に対するパッチを公開した。同脆弱性は攻撃者が特殊に細工したパケットを送信することでピアリング認証を回避し、対象システムの管理者権限を遠隔から取得できるもので、深刻度はクリティカルと評価されている。影響を受ける製品はCisco Catalyst SD-WAN Controller(旧称:SD-WAN vSmart)とCisco Catalyst SD-WAN Manager(旧称:SD-WAN vManage)であり、両製品ともに早急なパッチ適用が求められる。

本脆弱性は2026年3月9日にRapid7が発見・報告しており、Ciscoはパッチを2026年5月15日に提供した。その後CISAは脆弱性を「Known Exploited Vulnerabilities(KEV)」カタログに追加しており、実際の攻撃での悪用が確認されている。これは2026年に入ってからSD-WAN製品で悪用が確認されたゼロデイ脆弱性の6件目であり、CiscoのSD-WAN製品群を標的とした攻撃の深刻化を改めて示している。

攻撃の実態と脅威グループ

攻撃活動は2026年5月から活発化しており、Cisco Talosの分析によると「UAT-8616」と呼ばれる高度に洗練された脅威グループが関与していることが判明している。このグループの所属国家や最終的な目的は現時点では不明だが、インフラストラクチャがCisco Talosが監視するOperational Relay Box(ORB)ネットワークと重複していることが確認されている。

侵害後の活動としては、SSHキーの追加、NETCONF設定の改ざん、ルート権限への昇格試みなどが観測されている。Cisco Talosは計10のアクティビティクラスターを特定しており、これらのクラスターは仮想通貨マイナー、認証情報窃取ツール、バックドアといった多様なマルウェアを展開していることが確認されている。

深刻化するSD-WAN製品への標的型攻撃

CISAのKEVカタログには現在、Cisco SD-WAN関連の脆弱性が計15件登録されており、そのうち2026年に発見されたものが5件含まれている。このペースはSD-WAN製品が国家レベルの脅威アクターやサイバー犯罪グループにとって高価値な標的となっていることを示している。SD-WANコントローラーはネットワーク全体のトラフィックルーティングやポリシー制御を担う中枢機器であり、一度侵害されると広範なネットワークへのアクセスが可能になるため、引き続き攻撃者の関心を集めていると考えられる。

影響を受ける製品を利用している組織はCiscoが公開したセキュリティアドバイザリを確認し、速やかにパッチを適用するとともに、異常なSSH接続やNETCONF設定変更の有無を確認することが強く推奨される。