概要

Ciscoは、そのCatalyst SD-WAN製品群に存在する深刻なゼロデイ脆弱性を修正するために緊急のアップデートをリリースしました。この脆弱性は、高度に洗練された脅威アクターであるUAT-8616によって悪用され、企業ネットワークエッジへの深いアクセスが得られています。

脆弱性概要

CVE-2026-20127と追跡されているこの脆弱性は、ピアリング認証メカニズムの欠陥により存在します。未認証のリモート攻撃者は、特別に作成された要求を脆弱なシステムに送信することで、セキュリティをバイパスし、内部の高権限ユーザーとしてログインすることが可能です。

脆弱性詳細

Cisco Talos研究者によると、このアクティブな攻撃はUAT-8616によって行われており、その活動は少なくとも2023年から継続しています。これらの攻撃者は特定のネットワークエッジデバイスを標的とし、重要なインフラ組織内に持続的な足場を作り出します。

攻撃手法

UAT-8616は、ゼロデイ脆弱性を利用して初期の管理アクセス権を得た後、マルチステップ技術を使用して完全なコントロールを獲得します。最初に、攻撃者は故意にデバイスのソフトウェアを古い脆弱版にダウングレードし、次にCVE-2022-20775という局所的な権限昇格を可能にする脆弱性を悪用してルートレベルへのアクセスを得ます。最後に、システムを元のバージョンに戻すことで痕跡を隠し、静かにルートアクセスを維持します。

インジケーターオブコムプロイス（IoCs）

• auth.logで「Accepted publickey for vmanage-admin」からの未知のIPアドレスによるログエントリが表示される。
• /home/root/.ssh/authorized_keysディレクトリに無効なSSHキーが置かれている。
• 0、1、または2バイトの異常な小さなログファイルがある。これはログ改ざんを強く示唆します。
• bash_historyやcli-historyなどの履歴ファイルが欠落しているかクリアされている。
• システムログにソフトウェアバージョンの突然のダウングレードと再起動が表示される。

対策

Ciscoは、この深刻な脆弱性に対する一時的なワークアラウンドはありません。オンプレミスまたはクラウドホストされたCatalyst SD-WANシステムを使用しているすべての組織に対して、ソフトウェアをすぐに更新することを強く推奨しています。

元記事: https://gbhackers.com/critical-cisco-sd-wan-0-day-exploited/