-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
Cisco SD-WANの重大な認証バイパス脆弱性、2023年からゼロデイとして悪用される:CVE-2026-20127
BleepingComputer – February 25, 2026
シスコは2月25日、Cisco Catalyst SD-WANにおける重大な認証バイパスの脆弱性CVE-2026-20127に対処するソフトウェアアップデートをリリースし、悪用について警告。認証されていないリモートの攻撃者による認証のバイパスおよび管理者権限の取得を可能にするこの脆弱性は、遅くとも2023年からゼロデイ攻撃に悪用されていたという。
ゼロデイ脆弱性CVE-2026-20127
Cisco Catalyst SD-WANは、集中管理システムを通じて企業の支社、データセンター、クラウド環境を接続するソフトウェアベースのネットワーキングプラットフォーム。各拠点間のトラフィックは、コントローラーにより暗号化された接続を介して安全にルーティングされている。
今回明らかになったゼロデイ脆弱性CVE-2026-20127はCVSS v3.1スコアが10.0のCriticalな脆弱性で、オンプレミス版およびクラウド版のCisco Catalyst SD-WAN Controller(旧vSmart)とCisco Catalyst SD-WAN Manager(旧vManage)が影響を受ける。ピアリング認証メカニズムが適切に機能していないことに起因する問題で、攻撃者は細工されたリクエストを影響を受けるシステムへ送付することでこの脆弱性を悪用可能。
悪用成功時の影響
悪用が成功した場合、攻撃者はCisco Catalyst SD-WAN Controllerへ内部の高権限(rootではない)ユーザーアカウントとしてログインできるようになる。また攻撃者はこのアカウントを利用すればNETCONFへアクセスすることもでき、これによりSD-WANファブリックのネットワーク構成設定を改変できるようになるとされる。
攻撃者は不正なピアを追加することにより、悪意あるデバイスをSD-WAN環境へ組み込むことが可能。その後、このデバイスにより暗号化された接続が確立され、攻撃者の制御下にあるネットワークがSD-WANに通知されることで、攻撃者は当該組織のネットワークのさらに深部へと移動できるようになる可能性があるという。
遅くとも2023年からゼロデイとして悪用される
シスコの脅威インテリジェンスリサーチチームであるCisco Talosのアドバイザリによれば、CVE-2026-20127はCisco Catalyst SD-WAN Controllerに対して現在進行形で悪用されているという。この悪用行為および侵害後の活動は「UAT-8616」として追跡されており、Cisco Talosはこの背後には「熟練度の高いサイバー脅威アクター」がいると高い確度で評価。また同脆弱性の悪用が遅くとも2023年から行われていた証拠を発見したことも明かしている。
また、複数国のサイバーセキュリティ当局など同社の「インテリジェンスパートナー」の調査によれば、脅威アクターはソフトウェアバージョンのダウングレードによって権限をrootへ昇格させていた可能性が高いという。アクターはダウングレード後に権限昇格の脆弱性CVE-2022-20775を悪用し、root権限を取得してから再度ソフトウェアバージョンを元に戻したとされている。
米CISAも緊急指令を発出
CVE-2026-20127およびCVE-2022-20775の悪用については、シスコのほか、米国および英国の当局などの合同アドバイザリで開示されている。米CISAは2月25日に緊急指令26-03を発出し、連邦文民行政機関に対してCisco SD-WANシステムの精査とフォレンジックアーティファクトの収集、アップデートの適用、関連する侵害有無の調査を実施するよう指示。連邦政府ネットワークへの差し迫る脅威を理由に、現地時間2月27日17時(日本時間28日7時)までのパッチ適用を命じている。また両脆弱性はKEVカタログ(悪用が確認済みの脆弱性カタログ)にも追加された。
CISA、英国家サイバーセキュリティセンター、およびその他のパートナーは合同でハンティング/ハードニングガイドもリリース。Cisco Catalyst SD-WANが世界的に狙われていると警告している。
これらのアドバイザリでは、SD-WANの管理インターフェースをインターネットに露出させるべきではない点が強調されたほか、利用組織には速やかなアップデートと影響を受けるシステムの保護強化が推奨されている。
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
地政学レポート
【最新版】インテリジェンス要件定義に関するガイドブック
-300x200.png)
OSINT関連レポート
ディープ&ダークウェブレポート
とは?.jpg)