Critical
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
2026 年 5 月:このセキュリティアドバイザリでは、『Cisco Catalyst SD-WAN コントローラの認証バイパスの脆弱性』が 2026 年 2 月に公開された後に発見され、修正された脆弱性の詳細と修正情報を提供します。この新しいアドバイザリは、制御接続ハンドシェイクにおける新しい脆弱性に関するものです。このアドバイザリの「侵害の兆候」セクションには、システムチェックに役立つ「制御接続の表示」に関するガイダンスが含まれています。
Cisco Catalyst SD-WAN Controller(以前のSD-WAN vSmart)、Cisco Catalyst SD-WAN Manager(以前のSD-WAN vManage)、およびCisco Catalyst SD-WAN Validator(以前のSD-WAN vBond)におけるピアリング認証の脆弱性により、認証されていないリモートの攻撃者が該当システムで認証をバイパスし、管理特権を取得する可能性があります。
この脆弱性は、影響を受けるシステムのピア認証メカニズムが正常に機能していないことが原因です。攻撃者は、巧妙に細工された要求を該当システムに送信することにより、この脆弱性をエクスプロイトする可能性があります。エクスプロイトが成功すると、攻撃者は影響を受ける Cisco Catalyst SD-WAN コントローラに、内部での高い権限を持つ非ルートユーザーアカウントとしてログインできる可能性があります。このアカウントを使用することで、攻撃者は NETCONF にアクセスし、SD-WAN ファブリックのネットワーク構成を操作することが可能になります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。
重要:侵害の兆候の可能性に関する情報を保存しておくため、お客様はアップグレードを行う前に、SD-WAN 環境内の各制御コンポーネントから request admin-tech コマンドを発行する必要があります。admin-tech ファイルが収集された後、できるだけ早くソフトウェアをアップグレードする必要があります。
SD-WAN 展開を修正済みリリースにアップグレードする前に、関連するログを保持します。アップグレード後、このアドバイザリに記載されている侵害の指標をログでチェックして、システムが侵害されていないことを確認します。ログに侵害の指標が示され、システムが侵害されたことが確認された場合、ソフトウェアアップデートを適用するだけでは脆弱性は解決しません。このような場合は、Cisco Technical Assistance Center(TAC)が提供する特定の修復手順に従って、システムを保護してください。
このアドバイザリは、次のリンク先で確認できます。https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW
該当製品
脆弱性のある製品
この脆弱性は、システム設定に関係なく、Cisco Catalyst SD-WAN Controller、Cisco Catalyst SD-WAN Manager、およびCisco Catalyst SD-WAN Validatorに影響を与えます。
この脆弱性は、以下を含むすべての展開タイプに影響します。
- オンプレミス展開
- Cisco SD-WAN Cloud-Pro
- Cisco SD-WAN Cloud(Cisco Managed)
- 政府/自治体向け Cisco SD-WAN(FedRAMP)
脆弱性が存在する Cisco ソフトウェアリリースについては、このアドバイザリの「修正済みソフトウェア」セクションを参照してください。
脆弱性を含んでいないことが確認された製品
セキュリティ侵害の痕跡
インターネットに公開されている Cisco Catalyst SD-WAN コントローラシステム、およびインターネットに公開されたポートがある Cisco Catalyst SD-WAN コントローラシステムは、侵害のリスクにさらされています。場合によっては、これらの侵害の兆候は、標準の操作中に発生する可能性があります。したがって、誤検出を特定して回避するために、通常のネットワークポスチャに対して評価を行う必要があります。
/var/log/auth.log にある auth.log ファイルを監査して、次に示す例のように、未知の IP アドレスまたは不正な IP アドレスからの Accepted publickey for vmanage-admin に関連する項目がないかどうか調べることをお勧めします。
2026-02-10T22:51:36+00:00 vm <auth.info> sshd[804]: Accepted publickey for vmanage-admin from <SYSTEM IP ADDRESS> port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY]
auth.log ログファイルの IP アドレスを、Cisco Catalyst SD-WAN Manager Web UI の [WebUI] > [デバイス(Devices)] > [システムIP(System IP)] 列にリストされている設定済みのシステム IP と照合する必要があります。
Cisco Catalyst SD-WAN コントローラまたは Cisco Catalyst SD-WAN Manager が侵害されたかどうかを判断する際に支援が必要な場合は、Cisco Technical Assistance Center(TAC)でケースをオープンする必要があります。 TAC ケースは、タイトルに CVE-ID CVE-2026-20182 を含むシビラティ(重大度)3 としてオープンする必要があります。新しい TAC ケースをオープンする前に、SD-WAN デプロイメント内の各制御コンポーネントから request admin-tech コマンドを発行し、admin-tech ファイルを Cisco TAC に提供して確認してもらうことができます。
ピアリングイベント検証に関するガイダンス
Cisco Catalyst SD-WAN のログで特定されたすべての制御接続ピアリングイベントについては、その正当性を確認するために手動での検証が必要であり、特に vmanage ピアリングタイプについては重点的に確認する必要があります。SD-WAN インフラストラクチャを侵害する攻撃者は、一見すると正常に見えるものの、不正なピア接続を確立することがよくあります。これらの接続は、予期しないタイミングで発生したり、認識されていない IP アドレスから発信されたり、あるいは環境のアーキテクチャと一致しないタイプのデバイスが関与したりします。適切なネットワーク運用と、侵害の兆候となり得る事象とを区別するためには、包括的なレビュープロセスが不可欠です。
検証チェックリスト
- 各ピアリングイベントのタイムスタンプを、既知のメンテナンス期間、予定されている設定変更、環境の通常の運用時間に照らして確認します。
- アセットインベントリおよび承認された IP 範囲と照合することにより、パブリック IP アドレスが、組織または認定パートナーが所有または運用するインフラストラクチャに対応するものであることを確認します。
- ピアシステム IP が SD-WAN トポロジ内の文書化されたデバイス割り当てと一致することを確認します。
- ピアタイプ(vmanage、vsmart、vedge、vbond)を確認し、デプロイメントで想定されるデバイスのロールと整合していることを確認します。
- 同じ送信元 IP またはシステム IP からの複数のイベントを関連付けて、偵察活動や継続的なアクセス試行のパターンを特定します。
- イベントのタイミングを認証ログ、変更管理記録、およびユーザーアクティビティと照合し、その接続が権限のある担当者によって行われたものかどうかを確認します。
ログエントリの例
Jul 26 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: control-connection-state-change new-state:up peer-type:vmanagepeer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005
特定された例では、peer-system-ip が予想されている IP アドレススキーマ in-use と一致していることを検証しています。また、タイムスタンプがピアリングイベントの発生原因となる可能性のあるイベントと一致することを検証しています。さらに、public-ip がピアリングイベントの予想されるソースであることを検証しています。
制御接続の表示に関するガイダンス
侵害の可能性がないかを確認するため、コマンドの出力に state:up および no challenge-ack があるかどうかを確認するには、show control connections detail コマンドまたは show control connections-history detail コマンドを使用します。コマンドの出力にこの情報が表示された場合は、Cisco TAC に連絡してケースをオープンし、さらにサポートを受けてください。
コントローラまたは Manager の CLI から:show control connections detail または show control connections-history detail のいずれかを使用します。
Validator の CLI から:show orchestrator connections detail または show orchestrator connections-history detail のいずれかを使用します。
出力例:
----------------------------------------------------------------------
REMOTE-COLOR- default SYSTEM-IP- 2.2.2.2 PEER-PERSONALITY- vmanage
----------------------------------------------------------------------
site-id 562
domain-id 0
protocol dtls
protocol-version DTLS1_2
cipher-name ECDHE-RSA-AES256-GCM-SHA384
private-ip 10.0.0.1
private-port 12346
public-ip 192.168.1.1
public-port 50825
org-name orgname-example
state up [Local Err: NO_ERROR] [Remote Err: NO_ERROR]
uptime 0:00:16:58
hello interval 1000
hello tolerance 12000
peer-session-id 0x00eda0acc5Tx Statistics-
--------------
hello 3423293
connects 0
registers 0
register-replies 0
challenge 1
challenge-response 0
challenge-ack 0 <-- challenge-ack 0
teardown 0
teardown-all 0
vmanage-to-peer 0
register-to-vmanage 1
create-cert-reply 0Rx Statistics-
--------------
hello 3423291
connects 0
registers 0
register-replies 0
challenge 0
challenge-response 1
challenge-ack 0 <-- challenge-ack 0
teardown 0
vmanage-to-peer 1
register-to-vmanage 0
create-cert 0
回避策
この脆弱性に対処する回避策はありません。
修正済みソフトウェア
シスコでは、回避策や緩和策(該当する場合)は、修正済みソフトウェアリリースへのアップグレードが利用可能になるまでの一時的な解決策であると考えています。この脆弱性を完全に修正し、本アドバイザリに記載されているような将来のリスクを回避するために、シスコでは、本アドバイザリに記載されている修正済みソフトウェアにアップグレードすることを強く推奨します。
修正済みリリース
次の表では、左の列にシスコ ソフトウェアリリースを記載しています。右側の列は、リリースがこのアドバイザリに記載されている脆弱性の影響を受けるかどうか、およびこの脆弱性に対する修正を含む最初のリリースを示しています。このセクションの表に記載されている適切な修正済みソフトウェアリリースにアップグレードすることをお勧めします。
| Cisco Catalyst SD-WAN リリース | First Fixed Release(修正された最初のリリース) |
|---|---|
| 20.91 より前 | 修正済みリリースに移行。 |
| 20.9 | 20.9.9.1 |
| 20.10 | 20.12.7.1 |
| 20.111 | 20.12.7.1 |
| 20.12 | 20.12.5.4 20.12.6.2 20.12.7.1 |
| 20.131 | 20.15.5.2 |
| 20.141 | 20.15.5.2 |
| 20.15 | 20.15.4.4 20.15.5.2 |
| 20.161 | 20.18.2.2 |
| 20.18 | 20.18.2.2 |
| 26.1 | 26.1.1.1 |
シスコの Product Security Incident Response Team(PSIRT; プロダクト セキュリティ インシデント レスポンス チーム)は、このアドバイザリに記載されている該当するリリース情報と修正済みリリース情報のみを検証します。
シスコは、クラウドベースの Cisco SD-WAN Cloud(Cisco Managed)リリース 20.15.506 においても、この脆弱性に対処しています。ユーザの対処は必要ありません。サービス GUI のヘルプ機能を使用すると、現在の修復ステータスやソフトウェアバージョンを確認できます。
その他の情報が必要な場合は、Cisco TAC もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
追加情報
- コンポーネントとソフトウェアリリースの互換性を確認するには、『Catalyst SD-WAN Control Component Compatibility Matrix』を参照してください。
- アップグレードの計画については、Cisco Catalyst SD-WAN Upgrade Matrix を参照してください。
- 修復に関する追加のサポートについては、『Catalyst SD-WAN セキュリティアドバイザリの修正 - 2026 年 5 月』を参照してください。
不正利用事例と公式発表
2026 年 5 月、Cisco Product Security Incident Response Team(PSIRT)は、この脆弱性の限定的なエクスプロイトの事例を認識しました。この脆弱性が修正済みのソフトウェアリリースにアップグレードすることを強くお勧めします。
出典
シスコは、この脆弱性を報告していただいた Rapid7 社のシニア プリンシパル セキュリティ研究者である Stephen Fewer 氏およびシニアセキュリティ研究者である Jonah Burgess 氏に感謝いたします。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 2.0 | Cisco Catalyst SD-WANバリデータを追加。 | 概要および脆弱性のある製品 | Final | 2026年6月16日 |
| 1.1 | ソフトウェアのアップグレード、ログの保持、侵害の指標のチェック、および Cisco TAC への連絡に関する詳細を追加。 | 要約 | Final | 2026 年 5 月 27 日 |
| 1.0 | 初回公開リリース | — | Final | 2026 年 5 月 27 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。