**Cisco**は、Catalyst SD-WAN Controllerにおける認証バイパスの重大な脆弱性、**CVE-2026-20182**が、攻撃者が侵害されたデバイスで管理者権限を取得することを可能にするゼロデイ攻撃で活発に悪用されていると警告しています。 **CVE-2026-20182**は、最大深刻度10.0であり、オンプレミスおよびSD-WAN Cloudデプロイメントの**Cisco Catalyst SD-WAN Controller**と**Cisco Catalyst SD-WAN Manager**に影響します。 ### 脆弱性の詳細 本日公開されたアドバイザリで、**Cisco**は、この問題が「正しく機能していない」ピア認証メカニズムに起因すると述べています。 「この脆弱性は、影響を受けるシステムにおけるピア認証メカニズムが正しく機能していないために存在します。攻撃者は、影響を受けるシステムに細工されたリクエストを送信することで、この脆弱性を悪用する可能性があります」と、[Cisco CVE-2026-20182アドバイザリ](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW)は述べています。 「悪用に成功すると、攻撃者は影響を受ける**Cisco Catalyst SD-WAN Controller**に、内部の高権限を持つ非rootユーザーアカウントとしてログインできるようになります。このアカウントを使用して、攻撃者はNETCONFにアクセスし、SD-WANファブリックのネットワーク構成を操作できるようになります。」 **Cisco Catalyst SD-WAN**は、中央管理システムを通じて支社、データセンター、クラウド環境を接続するソフトウェアベースのネットワーキングプラットフォームです。コントローラーを使用して、暗号化された接続を介してサイト間のトラフィックを安全にルーティングします。 ### 活発な悪用 同社は、脅威アクターが5月にこの脆弱性を悪用していることを検知したと述べていますが、どのように悪用されたかについての詳細は共有していません。 しかし、共有された侵害の兆候（IOC）は、管理者にSD-WAN Controllerのログで不正なピアリングイベントを確認するように警告しており、これはSD-WANファブリック内に不正なデバイスを登録しようとする試みを示している可能性があります。 不正なピアを追加することで、攻撃者は正規に見える悪意のあるデバイスをSD-WAN環境に挿入できます。その後、そのデバイスは暗号化された接続を確立し、攻撃者の制御下にあるネットワークをアドバタイズできるようになり、組織のネットワークの奥深くまで侵入する可能性が出てきます。 ### 発見と以前の脆弱性との関連 この脆弱性は、2月に修正された別の**Cisco SD-WAN**コントローラーの脆弱性、[**CVE-2026-20127**](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk)を調査中に、[**Rapid7**](https://www.rapid7.com/blog/post/ve-cve-2026-20182-critical-authentication-bypass-cisco-catalyst-sd-wan-controller-fixed/)によって発見されました。 [**CVE-2026-20127**](https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/)も、2023年以降、「UAT-8616」として追跡される脅威アクターによってゼロデイ攻撃で悪用され、組織内に不正なピアを作成していました。 ### 緩和策と是正措置 **Cisco**は、この脆弱性に対処するためのセキュリティアップデートをリリースしており、問題を完全に緩和する回避策はないと述べています。 同社はまた、SD-WAN管理およびコントロールプレーンインターフェイスへのアクセスを、信頼できる内部ネットワークまたは許可されたIPアドレスのみに制限すること、および認証ログで不審なログインアクティビティを確認することを推奨しています。 **CISA**は、**Cisco CVE-2026-20182**の脆弱性を[既知の悪用済み脆弱性カタログ](https://www.cisa.gov/news-events/alerts/2026/05/14/cisa-adds-one-known-exploited-vulnerability-catalog)に追加し、連邦機関に対して2026年5月17日までに影響を受けるデバイスをパッチ適用するよう指示しました。 ### 侵害の兆候 **Cisco**は、インターネットに公開されているCatalyst SD-WAN Controllerシステムから、不正アクセスまたはピアリングイベントを示唆する可能性のあるイベントについてログを確認するよう組織に強く求めています。 同社によると、管理者は*/var/log/auth.log*を確認し、「Accepted publickey for vmanage-admin」というエントリで、未知のIPアドレスからのものを検索すべきです。 ``` 2026-02-10T22:51:36+00:00 vm sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY] ``` 管理者は、ログ内のIPアドレスを、**Cisco Catalyst SD-WAN Manager**のWeb UIの**WebUI** > **Devices** > **System IP**にリストされている設定済みシステムIPと比較する必要があります。 未知のIPアドレスが正常に認証された場合、管理者はそのデバイスが侵害されたと見なし、**Cisco TAC**ケースを開く必要があります。 **Cisco**はまた、攻撃者がSD-WANファブリック内に不正なデバイスを登録しようとする可能性があるため、SD-WAN Controllerのログで不正なピアリングアクティビティを確認することを推奨しています。 ``` Jul 26 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: control-connection-state-change new-state:up peer-type:vmanagepeer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005 ``` **Cisco**は、**CVE-2026-20182**を完全に是正する唯一の方法として、修正されたソフトウェアリリースへのアップグレードを強く推奨しています。  ## 検証のギャップ：自動ペネトレーションテストは1つの質問に答える。あなたには6つ必要。 自動ペネトレーションテストツールは真の価値を提供しますが、それらは1つの質問に答えるために構築されました：攻撃者はネットワークを通過できるか？それらは、あなたのコントロールが脅威をブロックするか、検出ルールが発火するか、クラウド構成が保持されるかをテストするために構築されたものではありません。 このガイドでは、実際に検証する必要がある6つのサーフェスについて説明します。 [今すぐダウンロード](https://hubs.li/Q048zztN0)