Cisco Catalyst SD-WAN コントローラの認証バイパスの脆弱性

ダウンロード オプション

  • PDF     (400.7 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2026 年 3 月 3 日
Document ID:SA225531

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

Cisco Security - Cisco

Critical

アドバイザリーID : cisco-sa-sdwan-rpa-EHchtZk
初公開日 : 2026-02-25 16:00
最終更新日 : 2026-03-03 00:38
バージョン 1.2 : Final
CVSSスコア : 10.0
回避策 : No workarounds available
Cisco バグ ID : CSCws52722
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco Catalyst SD-WAN コントローラ(旧 SD-WAN vSmart)と Cisco Catalyst SD-WAN Manager(旧 SD-WAN vManage)でのピア認証の脆弱性により、認証されていないリモートの攻撃者が認証をバイパスし、影響を受けるシステムで管理者権限を取得する可能性があります。

この脆弱性は、影響を受けるシステムのピア認証メカニズムが正常に機能していないことが原因です。攻撃者は、細工された要求を該当システムに送信することにより、この脆弱性をエクスプロイトする可能性があります。エクスプロイトが成功すると、攻撃者は影響を受ける Cisco Catalyst SD-WAN コントローラに、内部での高い権限を持つ非ルートユーザーアカウントとしてログインできる可能性があります。このアカウントを使用することで、攻撃者は NETCONF にアクセスし、SD-WAN ファブリックのネットワーク構成を操作することが可能になります。 

シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。 

このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk

該当製品

脆弱性のある製品

この脆弱性は、デバイスの設定に関係なく、Cisco Catalyst SD-WAN コントローラおよび Cisco Catalyst SD-WAN Manager に影響します。

この脆弱性は、次の展開タイプに影響します。

  • オンプレミス展開
  • Cisco Hosted SD-WAN Cloud
  • Cisco Hosted SD-WAN Cloud - Cisco Managed
  • Cisco Hosted SD-WAN Cloud - FedRAMP 環境

脆弱性が存在する Cisco ソフトウェアリリースについては、このアドバイザリの「修正済みソフトウェア」セクションを参照してください。

脆弱性を含んでいないことが確認された製品

このアドバイザリの「脆弱性のある製品」セクションに記載されている製品のみが、これらの脆弱性の影響を受けることが分かっています。

詳細

重要:簡素化と一貫性を実現するために、Cisco SD-WAN ソリューションは Cisco Catalyst SD-WAN としてブランド名が変更されました。さらに、Cisco IOS XE SD-WAN リリース 17.12.1a と Cisco Catalyst SD-WAN リリース 20.12.1 以降、次のコンポーネントの変更が適用されます。

  • Cisco SD-WAN コントローラCisco Catalyst SD-WAN 制御コンポーネントになります
  • Cisco SD-WAN vAnalyticsCisco Catalyst SD-WAN Analytics になります
  • Cisco SD-WAN vBondCisco Catalyst SD-WAN Validator になります
  • Cisco SD-WAN vManageCisco Catalyst SD-WAN Manager になります
  • Cisco SD-WAN vSmartCisco Catalyst SD-WAN コントローラになります

すべてのコンポーネントブランド名変更の包括的なリストについては、最新のリリースノートを参照してください。新しい名称への移行期間中には、ソフトウェア製品のユーザーインターフェイス更新が段階的に行われるため、ドキュメントセットに不整合が生じる可能性があります。

セキュリティ侵害の痕跡

インターネットに公開されている Cisco Catalyst SD-WAN コントローラシステム、およびインターネットに公開されたポートがある Cisco Catalyst SD-WAN コントローラシステムは、侵害のリスクにさらされています。

/var/log/auth.log にある auth.log ファイルを監査して、次に示す例のように、未知の IP アドレスまたは不正な IP アドレスからの Accepted publickey for vmanage-admin に関連する項目がないかどうか調べることをお勧めします。

2026-02-10T22:51:36+00:00 vm <auth.info> sshd[804]: Accepted publickey for vmanage-admin from <SYSTEM IP ADDRESS> port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY]

auth.log ログファイルの IP アドレスを、Cisco Catalyst SD-WAN Manager Web UI の [WebUI] > [デバイス(Devices)] > [システムIP(System IP)] 列にリストされている設定済みのシステム IP と照合する必要があります。

Cisco Catalyst SD-WAN コントローラまたは Cisco Catalyst SD-WAN Manager が侵害されたかどうかを判断する際に支援が必要な場合は、Cisco Technical Assistance Center(TAC)でケースをオープンする必要があります。 新しい TAC ケースをオープンする前に、SD-WAN デプロイメント内の各制御コンポーネントから request admin-tech コマンドを発行し、admin-tech ファイルを Cisco TAC に提供して確認してもらうことができます。

ピアリングイベント検証に関するガイダンス

Cisco Catalyst SD-WAN のログで特定されたすべての制御接続ピアリングイベントは、問題がないかどうかを確認するために手動での検証が必要であり、特に vmanage ピアリングタイプに重点を置いて検証する必要があります。SD-WAN インフラストラクチャを侵害する攻撃者は、一見すると正常に見えるものの、予期しないタイミングで発生したり、認識されていない IP アドレスから発信されたり、あるいは環境のアーキテクチャと一致しないタイプのデバイスが関与したりする、不正なピア接続を確立することがよくあります。適切なネットワーク運用と、侵害の兆候となり得る事象とを区別するためには、包括的なレビュープロセスが不可欠です。

検証チェックリスト

  • 各ピアリングイベントのタイムスタンプを、既知のメンテナンス期間、予定されている設定変更、環境の通常の運用時間に照らして確認します。
  • アセットインベントリおよび承認された IP 範囲と照合することにより、パブリック IP アドレスが、組織または認定パートナーが所有または運用するインフラストラクチャに対応するものであることを確認します。
  • ピアシステム IP が SD-WAN トポロジ内の文書化されたデバイス割り当てと一致することを確認します。
  • ピアタイプ(vmanage、vsmart、vedge、vbond)を確認し、デプロイメントで想定されるデバイスのロールと整合していることを確認します。
  • 同じ送信元 IP またはシステム IP からの複数のイベントを関連付けて、偵察活動や継続的なアクセス試行のパターンを特定します。
  • イベントのタイミングを認証ログ、変更管理記録、およびユーザーアクティビティと照合し、その接続が権限のある担当者によって行われたものかどうかを確認します。

ログエントリの例 

Jul 26 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: control-connection-state-change new-state:up peer-type:vmanagepeer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005

特定された例では、peer-system-ip が予想されている IP アドレススキーマ in-use と一致していることを検証しています。また、タイムスタンプがピアリングイベントの発生原因となる可能性のあるイベントと一致することを検証しています。さらに、public-ip がピアリングイベントの予想されるソースであることを検証しています。

回避策

この脆弱性に対処する回避策はありません。ただし、軽減策として、最初の修正リリースへのアップグレードを計画しているとき、お客様はこの脆弱性の影響を一時的に軽減するために、以下のガイドラインを参照することができます。

アクションオーナー オンプレミス展開
[顧客(Customer)] Cisco Catalyst SD-WAN スタートアップガイド 』の「Cisco SD-WAN 展開のためのファイアウォールポート」セクションのガイドラインに従ってください。
 
自社のデータセンターで Cisco Catalyst SD-WAN 環境をホストしているお客様は、コントローラ内接続を確保する必要があります。シスコでは、ポート 22 およびポート 830 へのトラフィックを制限し、既知のコントローラ IP アドレスおよびその他の既知の IP アドレスのみを許可するように、アクセス制御リスト(ACL)、セキュリティグループのルール、および/またはファイアウォールのルールを追加することを推奨しています。また、Cisco Catalyst SD-WAN 制御コンポーネントへのアクセスを必要とする特定のホストまたはデバイスからの IP トラフィックのみを許可するように、緩和用の ACL を設定する必要があります。 
アクションオーナー Cisco Hosted SD-WAN Cloud
[顧客(Customer)] これらのガードレールは、Cisco Hosted SD-WAN Cloud に適用されます。
アクションオーナー Cisco Hosted SD-WAN Cloud - FedRAMP 環境
[顧客(Customer)] これらのガードレールは、Cisco Hosted SD-WAN Cloud - FedRAMP 環境に適用されます。
アクションオーナー Cisco Hosted SD-WAN Cloud - Cisco Managed
お客様とシスコ これらのガードレールは、Cisco Hosted SD-WAN Cloud - Cisco Managed に適用されます。

この緩和策は導入されており、テスト環境では実証済みですが、お客様は、ご使用の環境および使用条件において適用性と有効性を判断する必要があります。また、導入されている回避策または緩和策が、お客様固有の導入シナリオおよび制限に基づいて、ネットワークの機能やパフォーマンスに悪影響を及ぼす可能性があることに注意してください。回避策や緩和策は、ご使用の環境への適用性と環境への影響を評価した後で導入してください。

修正済みソフトウェア

シスコでは、回避策や緩和策(該当する場合)は、修正済みソフトウェアリリースへのアップグレードが利用可能になるまでの一時的な解決策であると考えています。これらの脆弱性を完全に修正し、本アドバイザリに記載されているような将来のリスクを回避するために、シスコでは、本アドバイザリに記載されている修正済みソフトウェアにアップグレードすることを強く推奨します。

修正済みリリース

次の表では、左の列にシスコ ソフトウェアリリースを記載しています。右側の列は、リリースがこのアドバイザリに記載されている脆弱性の影響を受けるかどうか、およびこの脆弱性に対する修正を含む最初のリリースを示しています。このセクションの表に記載されている適切な修正済みソフトウェアリリースにアップグレードすることをお勧めします。 

Cisco Catalyst SD-WAN リリース First Fixed Release(修正された最初のリリース)
20.91 より前 修正済みリリースに移行。
20.9 20.9.8.2
20.111 20.12.6.1
20.12 20.12.5.3
20.12.6.1
20.131 20.15.4.2
20.141 20.15.4.2
20.15 20.15.4.2
20.161 20.18.2.1
20.18 20.18.2.1
1. これらのリリースは、ソフトウェアメンテナンスが終了しています。シスコでは、サポートされているリリースにアップグレードすることを強く推奨します。

シスコの Product Security Incident Response Team(PSIRT; プロダクト セキュリティ インシデント レスポンス チーム)は、このアドバイザリに記載されている該当するリリース情報と修正済みリリース情報のみを検証します。

追加情報

不正利用事例と公式発表

Cisco PSIRT は、件数は少ないながら、この脆弱性が不正利用されていることを把握しています。これらの脆弱性が修正済みのソフトウェアリリースにアップグレードすることを、引き続き強くお勧めします。

出典

シスコは、この脆弱性を報告してくださったオーストラリア信号総局のオーストラリア サイバーセキュリティ センターに謝意を表します。

URL

改訂履歴

バージョン 説明 セクション ステータス 日付
1.2 緩和情報を更新。 回避策 Final 2026 年 3 月 3 日
1.1 修正済みリリースの表を更新。公開の修復ドキュメントへのリンクを追加。 修正済みリリース Final 2026 年 2 月 27 日
1.0 初回公開リリース Final 2026 年 2 月 25 日

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。