CyberFix Note
脆弱性・CVE解説

Cisco Catalyst SD-WAN ManagerのゼロデイCVE-2026-20245。細工ファイルでrootを奪われた管理プレーン侵害と認証バイパス連鎖

対象の目安: Cisco Catalyst SD-WANを運用するネットワーク/情報システム担当 / 実務

ソウ攻撃・脆弱性リサーチ担当
・ 約15分で読めます
Cisco Catalyst SD-WAN ManagerのゼロデイCVE-2026-20245。細工ファイルでrootを奪われた管理プレーン侵害と認証バイパス連鎖

Cisco Catalyst SD-WANは、拠点間の通信を集中管理するSD-WAN基盤です。旧vManageにあたるCatalyst SD-WAN Manager、旧vSmartのCatalyst SD-WAN Controller、旧vBondのCatalyst SD-WAN Validatorが、拠点のエッジ機器へ構成を配布する管理プレーンを構成します。この管理プレーンのCLIに、認証済みでnetadmin権限のローカル攻撃者がrootとして任意コマンドを実行できる脆弱性CVE-2026-20245が見つかりました。CVSS v3.1の基本値は7.8です。

この記事は、Cisco Catalyst SD-WANを運用するネットワークや情報システムの担当に向けて、管理プレーンが乗っ取られると何が起きるのか、入力検証の不備がどうやってroot権限のコマンド実行に転じるのかを、NVDとCiscoの公式アドバイザリ、Google Cloud(Mandiant)の脅威インテリジェンス、CISAの情報をもとに整理します。あわせて、認証バイパスの脆弱性と連鎖してroot奪取まで持ち込まれたゼロデイ悪用の経緯と、KEV収録を踏まえた初動を扱います。攻撃の再現手順やペイロードは示しません。脆弱性の検証は自組織が管理する環境に限って行います。

管理プレーンが乗っ取られると何が波及するか

Cisco Catalyst SD-WANの管理プレーンは、多数の拠点に置いたエッジ機器へ通信ポリシーや経路の構成を配布する中枢です。Catalyst SD-WAN Managerはその設定と運用の中心で、Controllerが経路制御を、Validatorが機器の認証と参加制御を担います。ここが攻撃者に握られると、影響は一台の機器にとどまりません。管理下のすべての拠点へ不正な構成を押し込む、通信を迂回させる、監視を無効化するといった操作が、正規の管理経路を通じて広範囲に及びます。

CVE-2026-20245で攻撃者が得るのはrootです。rootはシステム上で最も強い権限で、設定ファイルの改ざんからログの消去、永続的な侵入口の設置まで制約なく行えます。管理プレーンでroot権限のコマンド実行が成立することは、SD-WAN基盤全体の統制を奪われることに等しい状態です。

境界に面したネットワーク機器が侵入口として狙われる背景と、その守り方の考え方は次の記事で整理しています。

あわせて読みたい

境界に置くエッジ機器の脆弱性が侵入口として狙われる理由

入力検証の不備がroot権限のコマンド実行に転じる仕組み

CVE-2026-20245は、Catalyst SD-WAN Controller、Manager、ValidatorのCLIに存在します。NVDはこの脆弱性をCWE-116(不適切な出力のエンコードまたはエスケープ、Improper Encoding or Escaping of Output)に分類しています。CWE-116は、外部の構成要素へ渡すデータを組み立てる際に特殊文字を適切にエンコードもエスケープもしないことで、攻撃者が仕込んだ文字がデータではなく命令や区切りとして解釈されてしまう弱点です。

CiscoとNVDの説明では、この脆弱性はユーザー入力の検証不足に起因します。CLIのファイルアップロード機能が、受け取ったファイルの中身に含まれる悪意あるデータを十分にフィルタしません。攻撃者が細工したファイルを与えると、その内容がコマンドの一部として扱われ、netadminより上のroot権限で処理が実行されます。netadminはCLIを操作できる管理ロールですが、rootはシステム全体を掌握する権限です。入力の検証を欠いたファイル処理が、この権限の壁を越える踏み台になります。

NVDはCVE-2026-20245を2026年6月4日に公開し、Cisco Catalyst SD-WAN Controller/Manager/ValidatorのCLIで、認証済みでnetadmin権限のローカル攻撃者が細工したファイルを与えることでrootとして任意コマンドを実行できる脆弱性として登録しています。原因はユーザー入力の検証不足で、分類はCWE-116です。

外部入力が命令として解釈されてコマンド実行に至る機構そのものと、開発側で取れる対策は次の記事で整理しています。

あわせて読みたい

OSコマンドインジェクションの仕組みと根本対策。シェルに渡さず引数を分離する

CVSS評価とベクトルの読み方

Ciscoの評価によるCVSS v3.1の基本値は7.8(HIGH)です。数値とベクトルは次のとおりです。

指標内容
CVSS v3.1 基本値7.8(HIGH)
v3.1 ベクトルAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWECWE-116
攻撃前提認証済み、netadmin権限、ローカル

ベクトルは、攻撃元がローカル(AV:L)で、攻撃の複雑さが低く(AC:L)、必要な権限が低め(PR:L)、利用者の操作が不要(UI:N)であり、機密性と完全性と可用性のいずれにも高い影響(C:H/I:H/A:H)が及ぶことを示します。攻撃元がネットワークではなくローカルで、netadminという一定の権限を前提とするため、CVSS単体では9点台の未認証RCEより低い7.8に収まります。数値だけを見て後回しにできないのは、この前提がゼロデイの連鎖で満たされ、実環境で悪用されたためです。優先度づけの理由は次の節と、KEVの節で扱います。

Ciscoのセキュリティアドバイザリは、CVE-2026-20245を認証済みの権限昇格の脆弱性として公開し、CVSS v3.1基本値7.8を付与しています。攻撃には対象システムでnetadmin権限が必要で、その権限は正規の資格情報か、CVE-2026-20182もしくはCVE-2026-20127の悪用によって得られる場合があると説明しています。

認証バイパスから権限昇格へ至るゼロデイ連鎖

CVE-2026-20245の単体悪用にはnetadmin権限が要りますが、実際の攻撃ではその前提が別の脆弱性で満たされました。Mandiant(Google Cloud脅威インテリジェンス)は、2026年初頭にサービスプロバイダのSD-WAN基盤を標的とする攻撃者を調査し、CVE-2026-20245をゼロデイとして発見してCiscoへ報告しました。公開の数か月前から悪用されていた事案です。

Mandiantの報告によると、攻撃者はまず不正なピア接続を確立して認証の仕組みを迂回し、SSHで管理者アカウントへ到達しました。この初期アクセスには、未認証で管理者権限を奪える認証バイパスのCVE-2026-20182(CVSS10.0)や、関連するCVE-2026-20127が使われた可能性が示されています。管理者の足場を得たうえで、攻撃者はCVE-2026-20245を悪用し、細工したテナント用CSVファイルをアップロードしてroot権限のならず者アカウントを作成しました。作成したアカウントへ切り替えてroot相当のシェルを操作したうえで、痕跡を消すために作成したファイルを削除し、変更した設定を元に戻す反フォレンジックの手口も観測されています。ここでは悪用の具体的なコマンドやペイロードは示しません。

この連鎖が示すのは、CVSSが最上位でない権限昇格の脆弱性でも、未認証の認証バイパスと組み合わされると管理プレーンのroot奪取まで一気に到達するという点です。個々のCVSSだけでなく、同じ製品群で前提条件を満たし合う脆弱性の組み合わせを見て優先度を判断します。

Google Cloud(Mandiant)は、サービスプロバイダのCisco Catalyst SD-WAN Managerを標的とした侵入を調査し、CVE-2026-20245がゼロデイとして悪用されたと報告しています。攻撃者は不正なピア接続と認証バイパスで管理者アカウントへ到達し、細工したテナントCSVのアップロードでroot権限のならず者アカウントを作成し、痕跡を消す反フォレンジックの手口を用いたとされます。あわせて侵害の痕跡確認と修正版への更新を推奨しています。

CISA KEV収録と修正版

CISAのKEV(Known Exploited Vulnerabilities)カタログは、実環境での悪用が確認された脆弱性を収録し、対応の優先度を判断する材料になります。CISAは2026年6月9日にCVE-2026-20245をKEVカタログへ追加し、連邦民間行政機関(FCEB)に対して2026年6月23日までの是正を指示しました。KEVへの収録は、この脆弱性が悪用され得る段階を越えて、実際に悪用されている段階にあることを公的に示します。

Ciscoは2026年6月に修正版を公開しました。アドバイザリでは、各リリース系列に対する最初の修正版として次のバージョンが挙げられています。自環境の系列がどの修正版に対応するかは、Cisco公式のアドバイザリでバージョン別に確認します。

リリース系列最初の修正版
20.920.9.9.2
20.1220.12.7.2
20.15(4系)20.15.4.5
20.15(5系)20.15.5.3
20.1820.18.3.1
26.126.1.1.2

CISAは2026年6月9日にCVE-2026-20245を含む3件をKnown Exploited Vulnerabilities(KEV)カタログへ追加し、連邦民間行政機関へ2026年6月23日までの是正を指示しました。

CVSSの数値に加えてKEV収録やEPSSをどう優先度づけに使うかは、次の記事で扱っています。

あわせて読みたい

脆弱性対応の優先順位付け。CVSSだけに頼らないEPSSとCISA KEVの使い方

運用担当の初動

未認証の認証バイパスと連鎖してroot奪取まで到達し得る脆弱性で、かつ実環境での悪用が確認されている以上、パッチ適用と侵害調査を並行して進めます。次の順序で手を付けます。

  1. 1

    バージョンと構成の露出を確認する

    稼働中のCatalyst SD-WAN Manager、Controller、Validatorのバージョンを確認し、影響対象に該当するかをCiscoのアドバイザリで照合します。あわせて、管理プレーンのSSHや管理インターフェースが必要な範囲を越えて到達可能になっていないか、Validatorが受けるピア接続の経路が想定どおりに制限されているかを点検します。

  2. 2

    修正版へ更新する

    Ciscoは2026年6月に各系列の修正版を公開しています。20.9.9.2、20.12.7.2、20.15.4.5、20.15.5.3、20.18.3.1、26.1.1.2のうち自環境の系列に対応する版へ更新します。連鎖の前段にあたる認証バイパスのCVE-2026-20182やCVE-2026-20127も同時に是正済みの版になっているかを確認します。

  3. 3

    更新前に調査用データを保全する

    更新で痕跡が上書きされる前に、Ciscoが推奨する admin-tech の収集を制御プレーンの各コンポーネントで実施し、ログと現状の構成を保全します。攻撃者が反フォレンジックで痕跡を消す手口が観測されているため、保全は更新前に行います。

  4. 4

    侵害の痕跡を調査する

    想定外のローカルアカウント(例としてroot権限のならず者アカウント)が /etc/passwd や /etc/shadow に追記されていないか、身に覚えのないSSH接続やアカウントのパスワード変更、su による切り替えの記録、見慣れないファイルのアップロード痕跡が無いかを確認します。最新の侵害指標はGoogle Cloud(Mandiant)の報告とCisco公式アドバイザリで照合します。

  5. 5

    資格情報のローテーションと監視を強化する

    侵害が疑われる場合は、管理者アカウントやピア認証に関わる資格情報、SSH鍵のローテーションを進めます。あわせて管理プレーンのログ保全と監視を強化し、再侵入や不正なピア接続の兆候を継続して確認します。

注意

攻撃者は作成したファイルを削除し変更した設定を元に戻す反フォレンジックの手口を用いています。パッチを当てただけで安全になったと判断せず、露出していた期間があるインスタンスは侵害を疑い、痕跡が消される前提で保全済みのログとアカウント構成を照合します。

管理プレーンの堅牢化と最小権限の運用は、こうした権限昇格の連鎖に対する基本的な備えになります。設定の堅牢化の考え方は次の記事で整理しています。

あわせて読みたい

サーバーのハードニング基礎。最小化・最小権限・更新・設定堅牢化をCISベンチマークから学ぶ

脆弱性の検証は自組織が管理する環境に限って行い、他者のシステムへの無断のアクセスや検査は不正アクセス禁止法などの関連法令に触れるため行いません。悪用手順の詳細をここで示さないのも同じ理由からです。

まとめ

CVE-2026-20245は、Cisco Catalyst SD-WANの管理プレーンが、認証済みの権限を足場にrootまで奪われる危うさを示した脆弱性です。CLIのファイルアップロード機能が入力を十分に検証せず、netadmin権限のローカル攻撃者が細工したファイルでrootとして任意コマンドを実行できます。NVDの分類はCWE-116、CVSS v3.1基本値は7.8です。単体ではnetadminが前提ですが、Mandiantの調査では未認証の認証バイパスCVE-2026-20182などと連鎖し、管理者アカウントの奪取からroot権限のならず者アカウント作成まで、公開の数か月前からゼロデイとして悪用されていました。CISAは6月9日にKEVへ収録し、連邦機関に6月23日までの是正を指示しています。対応の要点は、Ciscoアドバイザリでの該当版確認と修正版への更新を進めつつ、更新前に調査用データを保全し、露出していた期間があるインスタンスは不正なローカルアカウントや想定外の操作の痕跡を調査して、必要に応じて資格情報をローテーションすることにあります。

CVE-2026-20245への対応で確認したいポイント

  • 稼働中のCatalyst SD-WAN Manager/Controller/Validatorのバージョンを確認し、Ciscoアドバイザリで影響対象に該当するか照合したか
  • 管理プレーンのSSHや管理インターフェース、Validatorのピア接続経路が必要な範囲に制限されているか点検したか
  • 自環境の系列に対応する修正版(20.9.9.2/20.12.7.2/20.15.4.5/20.15.5.3/20.18.3.1/26.1.1.2など)へ更新し、連鎖前段のCVE-2026-20182やCVE-2026-20127も是正済みか確認したか
  • 更新前に admin-tech などの調査用データとログを保全したか
  • 想定外のローカルアカウントや不審なSSH接続、パスワード変更、su の記録、アップロード痕跡が無いかを最新の侵害指標と照合して調査したか
  • 侵害が疑われる場合、管理者資格情報やSSH鍵のローテーションと監視強化を進めたか

出典・参考

この記事をシェア

関連する記事

セキュアコーディング

OSコマンドインジェクションの仕組みと根本対策。シェルに渡さず引数を分離する

OSコマンドインジェクション(CWE-78)が外部入力をシェルコマンドとして解釈させて成立する機構、OWASPのインジェクション分類での位置づけ、そしてシェルを介さず引数を配列で渡す根本対策までを開発者向けに整理します。入力検証が補助にとどまる理由も扱います。