概要
Ciscoは、Cisco Catalyst SD-WAN Manager(以前のSD-WAN vManage)に存在する複数の脆弱性を修正するため、緊急のソフトウェア更新を発行しました。これらの脆弱性は、攻撃者が認証をバイパスし、特権をrootに昇格させ、任意のコマンドを実行できる可能性を秘めています。
脆弱性の詳細
これらの脆弱性は、Cisco Advanced Security Initiatives Group (ASIG) のArthur Vidineyevによって内部セキュリティテスト中に発見されました。脆弱性は、認証バイパス、特権昇格、情報漏洩のメカニズムを含んでいます。
最も深刻な脆弱性であるCVE-2026-20129は、9.8のCVSSベーススコアを持ち、不適切に認証されたAPIリクエストを介してリモートの未認証攻撃者がnetadmin権限を取得できる可能性があります。
CVE-2026-20126は、不十分なREST API認証メカニズムを悪用することで、低特権のローカル攻撃者が基本的なオペレーティングシステム上の完全なrootアクセスを達成できる可能性があります。
脆弱性の活用状況
2026年3月初旬、Ciscoはアドバイザリを更新し、CVE-2026-20122とCVE-2026-20128のアクティブな活用について警告しました。
脆弱性のIDと詳細
- CVE-2026-20129: CVSSスコア9.8、深刻度:重大、API認証バイパス(netadminアクセス)、CWE-287
- CVE-2026-20126: CVSSスコア7.8、深刻度:高、ローカル特権昇格(rootアクセス)、CWE-257
- CVE-2026-20133: CVSSスコア7.5、深刻度:高、未認証リモート情報漏洩、CWE-200
- CVE-2026-20122: CVSSスコア7.1、深刻度:高、任意のファイル上書き(vmanageアクセス)、N/A
- CVE-2026-20128: CVSSスコア5.5、深刻度:中、DCA認証情報漏洩、N/A
対策と影響するバージョン
これらの脆弱性は、Cisco Catalyst SD-WAN Managerのどのデバイス構成でも影響を受ける可能性があります。特に、リリース20.18以降はCVE-2026-20129とCVE-2026-20128から影響を受けていません。
これらの脆弱性に対する現在のワークアラウンドはありません。そのため、企業のSD-WANファブリックを保護するためには、ソフトウェアのアップグレードが必須です。
対策の手順
- アップグレード: 特定のバージョン(20.9.8.2、20.12.6.1、20.15.4.2、20.18.2.1)にアップグレード。
- ネットワークの堅牢化: アクセスを信頼できるホストに制限し、ファイアウォールの後ろにSD-WANコンポーネントを配置。
- サービスの設定: ネットワーク管理者ポータルのHTTPを無効にし、不要なサービス(FTPなど)を無効に。
- モニタリング: ログを外部サーバーにルーティングし、異常な活動を示すトラフィックを監視。
結論
これらの脆弱性は、ネットワークセキュリティに深刻な脅威をもたらす可能性があります。Ciscoは、これらの脆弱性を修正するための緊急アップデートを提供していますが、企業は速やかに対策を講じることが重要です。