
Google傘下のMandiantは、Cisco Catalyst SD-WANに影響する高深刻度の脆弱性「CVE-2026-20245」が、公表前からゼロデイとして悪用されていたと報告しています。この脆弱性は、認証済みのローカル攻撃者が細工したファイルを使ってコマンドを実行し、root権限に昇格できる可能性があるものです。The Hacker News:Cisco Catalyst SD-WAN Zero-Day CVE-2026-20245 Exploited to Gain Root Access
この記事のポイント
影響のあるシステム
- Cisco Catalyst SD-WAN Controller
- Cisco Catalyst SD-WAN Manager
- Cisco Catalyst SD-WAN Validator
- Cisco Catalyst SD-WAN Manager(旧vManage)を含むSD-WAN管理環境
- オンプレミス、Cisco管理クラウド、Cloud-Pro、政府機関向け環境などの各種導入形態
- CVE-2026-20245の影響を受けるソフトウェアリリース。
※具体的な該当バージョンと修正版はCisco公式アドバイザリで確認が必要です。
推奨される対策
- Cisco公式アドバイザリでCVE-2026-20245の影響有無を確認し、修正版ソフトウェアへ更新する
- SD-WAN Manager、Controller、Validatorの管理アカウントと権限設定を確認する
- netadmin権限を持つアカウントの棚卸し、パスワード変更、不要アカウントの削除を行う
- 不審なピアリング接続、SSHログイン、管理者パスワード変更、設定取得の履歴を確認する
/etc/passwd、/etc/shadow、設定ファイルなどに不審な変更がないか確認する- 管理インターフェースへのアクセスを限定し、インターネットから直接到達できない構成に見直す
上記の対策は、元記事で報告された攻撃手法(アンチフォレンジックや権限昇格)を踏まえ、一般的なSD-WAN運用のセキュリティベストプラクティスとして編集部が補足したものです。
この記事に出てくる専門用語
- CVE-2026-20245:Cisco Catalyst SD-WANに関する脆弱性に付与された識別番号です。
- CVSS:脆弱性の深刻度を数値化するための評価方式です。今回の脆弱性はCVSSスコア7.8とされています。
- ゼロデイ:修正プログラムや公表情報が出る前に攻撃で悪用される脆弱性のことです。
- SD-WAN:複数拠点やクラウド接続をソフトウェアで集中管理するネットワーク技術です。
- root権限:Linux系システムなどで最も強い管理権限です。取得されると、設定変更やファイル操作を広範囲に行われるおそれがあります。
- ピアリング:SD-WAN環境で機器同士が信頼関係を確立し、通信経路を構成する仕組みです。
- netadmin権限:Cisco SD-WAN環境でネットワーク管理に関わる操作を行うための管理権限です。
- アンチフォレンジック:攻撃の痕跡を削除・改変し、調査を難しくする行為です。
管理基盤の侵害が持つ意味

CVE-2026-20245は、Cisco Catalyst SD-WANにおいて、認証済みのローカル攻撃者が細工したファイルを影響対象システムへ渡すことで、任意のコマンドを高い権限で実行できる可能性がある脆弱性です。元記事では、悪用に成功した場合、攻撃者がrootレベルのアクセスを得られると説明されています。root権限はシステム上で極めて強い操作権限を持つため、単なる管理画面への不正ログインよりも深刻な影響につながる可能性があります。
特にSD-WANは、複数拠点、クラウド、データセンターをつなぐネットワークの制御に関わります。その管理基盤が侵害されると、個別端末の感染とは異なり、ネットワーク全体の構成情報や通信経路に関する情報が攻撃者に見られるおそれがあります。Mandiantの報告では、攻撃者がSD-WANファブリックの設定情報を持ち出したとされています。これは、社内ネットワークの構造、接続関係、管理対象デバイスの把握につながる可能性があり、追加攻撃の準備に使われるリスクがあります。
今回の事例では、通信サービスプロバイダーが標的になったとされています。サービスプロバイダーのように多数の利用者や拠点接続を扱う組織では、SD-WAN管理基盤の侵害が業務継続や顧客ネットワークへの信頼にも影響する可能性があります。日本国内でも、拠点間接続、クラウド移行、リモート拠点管理のためにSD-WANを導入している企業は少なくありません。自社がCisco Catalyst SD-WANを利用している場合は、単に脆弱性の有無だけでなく、管理アカウント、接続履歴、設定変更履歴まで含めて確認することが重要です。
攻撃はどのように進んだと報告されているか
Mandiantの調査によると、今回の不正活動は少なくとも2つの期間に分かれて確認されています。ひとつは2025年末から2026年1月にかけて、もうひとつは2026年3月です。現時点では、これら2つの活動が同じ攻撃者によるものかどうかは不明とされています。最初の活動では、不正なピアリング接続が確認されており、当時未公表だったCisco Catalyst SD-WANコントローラの認証バイパス脆弱性、CVE-2026-20127またはCVE-2026-20182のいずれかが悪用された可能性があると説明されています。
2026年3月には、CVE-2026-20127の修正が適用された新しいソフトウェアバージョンの機器に対して、再び不正なピアリング接続が確認されたとされています。Ciscoは、この接続がCVE-2026-20182を悪用したものではないと確認しているため、攻撃者が過去の侵害で盗み出した証明書を使って初期アクセスを得た可能性も示されています。この点は、単にパッチを適用するだけでは過去に盗まれた認証情報や証明書の悪用を防げない場合があることを示しています。
その後、攻撃者はデフォルトの管理者認証情報を変更し、悪意のあるCSVファイル「evil_tenant.csv」をアップロードすることでCVE-2026-20245を悪用したと報告されています。この操作により、攻撃者は権限を昇格し、「troot」という不正なユーザーアカウントを作成して、rootレベルのシェル制御を得たとされています。さらに、攻撃者は作成したファイルの削除、変更した設定の復元、痕跡確認用スクリプトの実行などを行い、調査を難しくする行動を取っていたとされています。これは、攻撃が単発の侵入ではなく、検知回避を意識した計画的な活動であった可能性を示しています。
国内組織が直ちに確認すべき点

日本国内の企業や組織がまず確認すべきなのは、自社または委託先のネットワークでCisco Catalyst SD-WAN Controller、Manager、Validatorを利用しているかどうかです。SD-WANはネットワーク部門、情シス部門、通信事業者、マネージドサービス事業者が管理しているケースもあるため、資産台帳だけでは実態を把握できない場合があります。特に、拠点間VPN、クラウド接続、海外拠点接続、店舗ネットワークなどでCisco SD-WANを利用している場合は、管理者に確認する必要があります。
次に確認すべきなのは、修正版ソフトウェアの適用状況です。CVE-2026-20245はCVSSスコア7.8の高深刻度脆弱性とされ、悪用にはnetadmin権限が必要と説明されています。ただし、今回の報告では、不正なピアリング接続、認証情報の操作、証明書の悪用可能性、管理者アカウントの変更など、複数の要素が組み合わさって攻撃が進んだ可能性があります。そのため、条件付きの脆弱性だから安全と判断するのは適切ではありません。管理権限を持つアカウントが侵害されている場合、被害は一気に深刻化するおそれがあります。
ログ確認では、不審なピアリング接続、SSHログイン、管理者パスワードの変更、SD-WANファブリック設定の取得、CSVファイルのアップロード、trootのような不審なアカウント作成の有無を確認することが重要です。攻撃者が痕跡を削除していたと報告されているため、通常のログだけで完全に判断できない可能性もあります。必要に応じて、設定ファイル、バックアップ、管理者の操作履歴、ネットワーク機器側の接続ログを突き合わせて確認してください。SD-WAN機器はEDRのような詳細な監視が難しい場合があるため、管理プレーンへのアクセス制限、証明書の再発行、認証情報のローテーション、不要な管理経路の閉鎖を含めた総合的な見直しが求められます。
参考文献・記事一覧
投稿者プロフィール

- CyberCrew(サイバークルー)
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
■ 情報セキュリティサービス台帳登録事業者
■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10
■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester(Level 3)









