**CISA**は、連邦民間執行機関（FCEB）に対し、2026年5月17日までに**CVE-2026-20182**の修正を義務付けました。 ## Cisco Catalyst SD-WAN Controllerにおける認証バイパス 脆弱性である**CVE-2026-20182**は、**Cisco** Catalyst SD-WAN Controllerに影響を与える深刻な認証バイパスです。CVSSで最大10.0の深刻度を記録しており、認証されていないリモート攻撃者が管理者権限を取得することを可能にします。 「**Cisco** Catalyst SD-WAN ControllerおよびManagerには認証バイパスの脆弱性が存在し、認証されていないリモート攻撃者が認証をバイパスして、影響を受けるシステムで管理者権限を取得できます」と**CISA**は勧告で述べています。 ## 活発な悪用と脅威アクターの特定 **Cisco Talos**は、**CVE-2026-20182**の活発な悪用が、以前**CVE-2026-20127**の悪用に関連付けられていた脅威クラスターであるUAT-8616によるものであると高い確信度で特定しています。 「UAT-8616は、**CVE-2026-20182**を正常に悪用した後、同じ脅威アクターによる**CVE-2026-20127**の悪用で観察されたのと同様の、侵害後のアクションを実行しました」と**Cisco Talos**は報告しています。攻撃者はSSHキーの追加、NETCONF設定の変更、およびroot権限への昇格を試みました。 ## 重複するインフラストラクチャと連鎖する脆弱性 UAT-8616によって使用されているインフラストラクチャは、Operational Relay Box（ORB）ネットワークと重複しています。複数の脅威クラスターも、2026年3月から**CVE-2026-20133**、**CVE-2026-20128**、および**CVE-2026-20122**を悪用しています。 これら3つの脆弱性が連鎖すると、リモートの認証されていない攻撃者が不正アクセスを可能にする可能性があります。これらは先月、**CISA**のKEVカタログに追加されました。 ## Web Shellの展開と脅威アクターのクラスター 攻撃者は、公開されているプルーフ・オブ・コンセプト（PoC）エクスプロイトコードを利用して、侵害されたシステムにWeb Shellを展開し、任意のbashコマンドの実行を可能にしています。JavaServer Pages（JSP）ベースのWeb ShellであるXenShellのようなものは、ZeroZenX LabsによってリリースされたPoCを利用しています。 少なくとも10の異なるクラスターがこれらの脆弱性を悪用していることが特定されています。 * **クラスター1**（少なくとも2026年3月6日から活動中）：Godzilla Web Shellを展開します。 * **クラスター2**（少なくとも2026年3月10日から活動中）：Behinder Web Shellを展開します。 * **クラスター3**（少なくとも2026年3月4日から活動中）：XenShell Web ShellとBehinderのバリアントを展開します。 * **クラスター4**（少なくとも2026年3月3日から活動中）：Godzilla Web Shellのバリアントを展開します。 * **クラスター5**（少なくとも2026年3月13日から活動中）：AdaptixC2レッドチーミングフレームワークからコンパイルされたマルウェアエージェントを展開します。 * **クラスター6**（少なくとも2026年3月5日から活動中）：Sliverコマンド＆コントロール（C2）フレームワークを展開します。 * **クラスター7**（少なくとも2026年3月25日から活動中）：XMRigマイナーを展開します。 * **クラスター8**（少なくとも2026年3月10日から活動中）：KScanアセットマッピングツールと、ファイル操作、bash実行、システム情報収集が可能なNimPlantベースのNim言語バックドアを展開します。 * **クラスター9**（少なくとも2026年3月17日から活動中）：XMRigマイナーと、ピアベースのプロキシおよびトンネリングツールであるgsocketを展開します。 * **クラスター10**（少なくとも2026年3月13日から活動中）：管理者ユーザーのハッシュダンプ、REST API認証用のJSON Web Tokens（JWT）キーチャンク、およびvManage用のAWS認証情報を標的とするクレデンシャルスティールラーを展開します。 ## Ciscoの推奨事項 **Cisco**は、顧客に対し、これらの脆弱性に関する勧告で提供されているガイダンスと推奨事項に従い、環境を保護することを強く推奨しています。