このドキュメントでは、2026年6月4日および15日のPSIRTアドバイザリに基づいて、SD-WANの重大なセキュリティ脆弱性を特定し、対処する手順について説明します。
次の項目に関する知識があることが推奨されます。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
詳細な背景情報と最新のアップデートについては、PSIRTの公式アドバイザリページを参照してください。
これらのアドバイザリは、次のリンクから入手できます。
これらの不具合は、次のPSIRTアドバイザリで対処されています。
これらのアドバイザリでは、Cisco Catalyst SD-WANの2つの脆弱性について説明しています。1つ目の脆弱性(CVE-2026-20245)は、SD-WAN制御コンポーネントの権限昇格に関する脆弱性です。この脆弱性を悪用するには、netadmin権限が必要です。2つ目(CVE-2026-20262)は、SD-WAN Manager(vManage)の任意のファイル書き込み脆弱性で、認証されたユーザが該当システムのファイルシステム上で任意のファイルを作成または上書きできるようにします。
CVE-2026-20245とCVE-2026-20262の両方について、認証されていないリモート攻撃者が必要なクレデンシャルを取得するための既知のパスは、CVE-2026-20182(cisco-sa-sdwan-rpa2-v69WY2SW)またはCVE-2026-20127(cisco-sa-sdwan-rpa-EHchtZk)の不正利用です。 CVE-2026-20245では悪用にnetadmin権限が必要であるのに対し、CVE-2026-20262では少なくとも権限の低いシングルタスクユーザアカウントが必要です。
コントロールコンポーネントがこれら両方のアドバイザリの修正済みリリースにアップグレードされ、シスコが以前のイベントで提供したadmin-techファイルで潜在的なIndicators of Compromise(IoC)を特定しなかった場合、確認されたファイルに基づいて、CVE-2026-20245とCVE-2026-20262の両方の既知の認証されていないエクスプロイトパスがこれらのデバイスで軽減されます。これにより、攻撃者が有効なクレデンシャルを保持している場所で危険にさらされる可能性が排除されるわけではありません。両方のアドバイザリの修正済みリリースにアップグレードすることを推奨します。
必要な処置:Cisco TACサービスリクエストをオープンし、これらのセキュリティアドバイザリに対処します。
TACは次のユーザが利用できます。
必須:診断データと潜在的なIndicators of Compromise(IoC)が保持されるように、アップグレードや設定の変更を行う前にすべての制御コンポーネントからアドミニストリックファイルを収集します。これらのファイルは、ステップ3でTACが環境を分析するために使用します。
Collection:admin-tech生成の場合は、LogおよびTechオプションを選択します。コアは必要ありません。
SD-WAN環境でのAdmin-Techの収集とTACケースへのアップロード
注:TACはこれらのファイルを分析して、両方のアドバイザリに関連する侵害の指標について環境を評価します。権限昇格のアドバイザリに関しては、この分析の焦点は正当な使用と悪意のある使用を区別しない/var/log/scripts.logの特定のログエントリに置かれます。TACによる手動レビューが必要です。任意のファイル書き込みアドバイザリの場合、分析は/var/log/nms/vmanage-server.logのエントリに重点を置きます。これらのエントリは標準動作中に発生することもあり、誤検出を避けるために通常の動作ポスチャと比較して評価する必要があります。
admin-techファイルを共有できない場合は、手動の検証ステップを使用できます。このステップは、文書化してTACと共有する必要がある事前指標を提供します。
詳細な手順については、このドキュメントの最後にある「手動による確認手順」のセクションを参照してください。調査結果をすべて文書化し、サポート案件でTACに提供します。
ステップ1でadmin-techを収集した後、Cisco TACサポートケースをオープンし、収集したadmin-techファイルをアップロードします。TACでは、両方のアドバイザリ(CVE-2026-20245およびCVE-2026-20262)に関連付けられているIndicators of Compromise(IOC)について管理テクニックを分析します。
必要なアクション:
cisco-sa-sdwan-privesc-4uxFrdzxとcisco-sa-sdwan-arbfw-c2rZvQをタイトルに持つ重大度3 TACケースをオープンして、分析を開始します。
注:シスコはこの時点ですべてのリリーストレインでこれらの脆弱性に対するソフトウェア修正をリリースしていますが、回避策はありません。ステップ3のTAC分析は、指定したadmin-techファイルにセキュリティ侵害のインジケータが存在するかどうかを判断するのに役立ちます。修正済みソフトウェアバージョンにアップグレードし、その他の必要な次のステップに関してはTACのガイダンスに従ってください。
TACは、ステップ2でアップロードしたadmin-techファイルの予備分析を実行し、両方のアドバイザリ(CVE-2026-20245およびCVE-2026-20262)に関連付けられている侵害のインジケータについてファイルを評価します。
アドバイザリCVE-2026-20245に関しては、この分析は各制御コンポーネント(vManage、vSmart、およびvBond)の/var/log/scripts.logの特定のログエントリに重点を置いています。 基盤となるコマンドは正規のものであり、ログでは正規の使用と悪意のある使用が区別されないため、確認されたインジケータとして扱われる前に、一致するエントリについてTACが通常の動作ポスチャに対して手動でレビューする必要があります。
アドバイザリCVE-2026-20262に関しては、この分析は各Manager(vManage)の/var/log/nmsディレクトリ内のいくつかのファイルに重点を置いています。 場合によっては、標準的な運用中に侵害の兆候が発生することがあります。
これらのログでは、正当な使用と悪意のある使用が区別されません。そのため、一致するエントリがある場合は、確認済みインジケータとして扱われる前に、通常の動作ポスチャに対してTACによる手動レビューが必要になります。
TACによる分析の結果:
注:CVE-2026-20245アドバイザリによると、エクスプロイトにはnetadmin権限が必要であるのに対し、CVE-2026-20262では少なくとも権限の低いシングルタスクユーザアカウントが必要です。認証されていない攻撃者は、有効なクレデンシャルを使用するか、CVE-2026-20182またはCVE-2026-20127の不正利用によって、これらのクレデンシャルを取得する可能性があります。コントロールコンポーネントをこれらのアドバイザリの両方で修正済みリリースにアップグレードし、以前のイベントでセキュリティ侵害の兆候が確認されなかった場合、CVE-2026-20245とCVE-2026-20262の両方の既知の非認証エクスプロイトパスが、確認されたファイルに基づいて、これらの特定のデバイスで緩和されます。
お客様の環境でこれらのアドバイザリに関連するセキュリティ侵害の兆候が見つかった場合、TACから具体的なガイダンスをお送りします。TACが提供するすべての指示に従ってください。
いずれのアドバイザリでも侵害のインジケータが特定されていない場合、確認したadmin-techファイルに基づいて、現時点で侵害アセスメントに固有のアクションを実行する必要はありません。両方のアドバイザリの修正済みリリースにアップグレードすることを強くお勧めします。
次のソフトウェアリリースには、特定された脆弱性に対する修正が含まれています。
| 現在のバージョンに適用 | 修正済みバージョン | 利用可能なソフトウェア |
|---|---|---|
| 20.9.9.1 以前 | 20.9.9.2 | 20.9.9.2 vManage、vSmart、およびvBondのアップグレードイメージ |
| 20.12.7.1 以前 | 20.12.7.2 | 20.12.7.2 vManage、vSmart、およびvBondのアップグレードイメージ |
| 20.15.4.4 以前 | 20.15.4.5 | 20.15.4.5 vManage、vSmart、およびvBondのアップグレードイメージ |
| 20.15.5.2 以前 | 20.15.5.3 | 20.15.5.3 vManage、vSmart、およびvBondのアップグレードイメージ |
| 20.16、20.17、20.18.x | 20.18.3.1 | 20.18.3.1 vManage、vSmart、およびvBondのアップグレードイメージ |
| 26.1 | 26.1.1.2 | 26.1.1.2 vManage、vSmart、およびvBondのアップグレードイメージ |
重要な参考資料
修復が正常に完了したら、お客様固有のセキュリティ保証要件に基づいて、次に示す衛生活動を評価して実施することをお勧めします。これらのアクティビティは、選択した修復オプションに関係なく適用されます。これらはユーザ管理されます。シスコがユーザに代わって指示や実行を行うことはありません。
シスコでは、特定の修復パスを推奨していません。修復オプションの選択は、それぞれのお客様に委ねられています。
注:エッジデバイスの侵害が疑われる場合、影響を受けるエッジデバイスの工場出荷時設定へのリセットと再オンボーディングは、お客様が選択する際に考慮する必要のある、お客様管理による措置です。このアプローチを実施するかどうか、また、どのオプションを選択するかは、お客様ご自身で決定します。
安全な工場出荷時設定へのリセットを実行するための適切なコマンドは次のとおりです。
factory-reset all secure
注:推奨される方法はAdmin-tech収集です。admin-techファイルを収集してTACと共有できない場合は、ここに示す手動の確認手順のみを使用してください。この手動ステップの結果は事前に文書化されます。結果を文書化し、公式評価を実行するTACと共有します。
注:どちらのアドバイザリでも、手動検証は対象となるログチェックで構成されます。これらのチェックの対象となるログエントリは、正規のコマンドとアクティビティによって生成され、ログだけでは正規の使用と悪意のある使用を区別できません。一致するエントリは、潜在的なインジケータとして扱われる前に、通常の動作ポスチャに対して確認する必要があります。一致するエントリを通常の動作と照合できない場合は、結果を文書化し、TACと共有します。
scripts.logでファイルアップロードエントリを確認します。PSIRTアドバイザリによると、ユーザはこの例に似たエントリについてログファイルを監査することをお勧めします。リリース20.9以降では、このエントリはscripts.logの/var/log/にあります。20.9より前のリリースでは、これに相当するデータはvdebugログの/var/log/tmplog/にあります。
Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
ステップ1:各制御コンポーネントのvshellにアクセスし、CVE-2026-20245インジケータについて適切なログファイルを検索します
ログファイルの場所は、制御コンポーネントで実行されているソフトウェアリリースによって異なります。検索を実行する前に、環境に適用する内容を決定します。
リリース20.9以降:/var/log/tmplog/内のscripts.logを検索します。
vManage CLIからvshellにドロップし、次のコマンドを実行します。
vs
zgrep "vconfd_script_upload_tenant_list.sh" /var/log/scripts.log*
20.9より前のリリース:/var/log/tmplog/でvdebugログを検索します。
20.9よりも前のリリースでは、scripts.logは存在しません。同等のログデータが/var/log/tmplog/vdebugに書き込まれます。最大5つのローリングナンバードファイル(vdebug、vdebug.1 ~ vdebug.5)が保持されます。 すべてのアクティブなファイルを検索:
vs
zgrep "vconfd_script_upload_tenant_list.sh" /var/log/tmplog/vdebug*
アクティブなファイルに加えて、古いログはvdebug_<timestamp>.tar.gzという名前付けパターンを使用して/var/log/に圧縮tarファイルとしてアーカイブされ、ログデータはvar/log/tmplogにアーカイブ内に保存されます。すべてのアーカイブを次で検索:
for f in /var/log/vdebug_*.tar.gz; do echo "=== $f ==="; tar -xOf "$f" var/log/tmplog 2>/dev/null | grep "vconfd_script_upload_tenant_list.sh"; done
導入の各制御コンポーネント(すべてのクラスタメンバーとDRペアのvManageを含む)で、適用可能なすべてのチェックを繰り返します。
ステップ2:結果の解釈とTACへのドキュメントの提出
一致するエントリが返されない場合:
一致するエントリが返された場合:
-cli pathの後で参照されるファイルパスをキャプチャします。PSIRT忠告に従い、各マネージャ(vManage)でこれらのログファイルを監査して、次の例のようなエントリを探すことを推奨します。
vmanage-server.logの不審なエントリの例(/var/log/nms/にあります)
11-June-2026 03:53:37,310 EDT INFO [a66cdc5f-807d-4c23-944e-5c809a2ece6b] [server] [SdraAnyConnectFileUploadHandler] (default task-40704) |default| uploaded Remote Access Anyconnect profile file: ../../../../var/lib/wildfly/standalone/deployments/suspicious.war to vManage.
vmanage-appserver.logの不審なエントリの例(/var/log/nms/にあります)
11-June-2026 07:52:55,275 UTC INFO [server] (DeploymentScanner-threads - 2) WFLYSRV0010: Deployed "suspicious.war" (runtime-name : "suspicious.war")
serviceproxy-access.logの不審なエントリの例(/var/log/nms/containers/service-proxy/にあります)
POST /suspicious/index.jsp HTTP/1.1
注:20.9より前のリリースでは、serviceproxy-access.logは/var/log/nms/containers/service-proxy/ではなく/var/log/nms/にあります。
手順1:各マネージャ(vManage)のvshellにアクセスし、ログファイルを検索します
vManage CLIからvshellにドロップし、を実行します。
vs
zgrep "SdraAnyConnectFileUploadHandler" /var/log/nms/vmanage-server.log*
zgrep "WFLYSRV0010" /var/log/nms/vmanage-appserver.log*
一部のリリースでは、サービスプロキシログにvshellから直接アクセスできます。ルートシェルアクセスが必要なリリースでは、admin-techをダウンロードし、次のようなコマンドを使用して同じ方法で内部のserviceproxy-access.logファイルを検索します。
リリース20.9以降:
tar -xOf .tar.gz var/log/nms/containers/service-proxy/serviceproxy-access.log 2>/dev/null | grep "suspicious"
20.9より前のリリース:
tar -xOf .tar.gz var/log/nms/serverproxy-access.log 2>/dev/null | grep "suspicious"
vshellから直接アクセスする場合は、前の2つのコマンドの結果から特定した.warファイル名(拡張子なし)をsuspiciousの代わりに使用します。
リリース20.9以降:
zgrep "POST" /var/log/nms/containers/service-proxy/serviceproxy-access.log* | grep "suspicious"
20.9より前のリリース:
zgrep "POST" /var/log/nms/serverproxy-access.log* | grep "suspicious"
導入環境内のすべてのvManage(すべてのクラスタメンバーとDRペアのvManageを含む)でチェックを繰り返します。
ステップ2:結果の解釈とTACへのドキュメントの提出
一致するエントリが返されない場合:
一致するエントリが返された場合:
vmanage-server.log内の一致するエントリごとに、タイムスタンプ、完全なログ行、およびアップロードハンドラで参照されるファイルパスをキャプチャします。Q:これらのセキュリティアドバイザリに対処するための最初のステップは何ですか。
A:アップグレードや設定の変更を行う前に、すべての制御コンポーネント(vSmart、vManage、vBond)からadmin-techファイルを収集し、診断データと潜在的なセキュリティ侵害のインジケータを保持します。次に、Cisco TACケースを開き、TACが分析できるようにadmin-techsをアップロードします。
Q:シスコはこれらの脆弱性に対するソフトウェア修正をリリースしていますか。
A:はい。「修正済みソフトウェアバージョン」セクションに記載されているように、両方のアドバイザリで修正済みリリースを使用できます。回避策はありません。
Q:シスコがアップグレード以外の措置を推奨する理由は何ですか。
A:これらの脆弱性をエクスプロイトするには、認証されたユーザが必要です。認証されていない攻撃者は、有効なクレデンシャル、またはCVE-2026-20182やCVE-2026-20127の不正利用によってのみ、これらのクレデンシャルを取得できます。制御コンポーネントをこれらの以前のアドバイザリの修正済みリリースにアップグレードすることにより、これらの脆弱性を悪用するために必要な特権を取得するための既知の非認証パスに対処できます。ステップ3のadmin-tech分析は、確認したファイルに侵害のインジケータが存在するかどうかを判断するのに役立ちます。
Q:すべての制御コンポーネントからadmin-techsを収集する必要がありますか。
A:はい。TACでは、分析を実行するために、すべてのコントローラ(vSmart、1つずつ収集)、すべてのマネージャ(vManage)、およびすべてのバリデータ(vBond)のadmin-techファイルを必要とします。
Q:TACでは、これらのアドバイザリに関連するセキュリティ侵害の兆候がシステムにあるかどうかを判断する方法を教えてください。
A:TACでは、各アドバイザリに固有のセキュリティ侵害のインジケータについて、admin-techファイルを確認します。権限昇格のアドバイザリ(CVE-2026-20245)については、TACは各制御コンポーネントの/var/log/scripts.logで特定のログエントリを検索します。任意のファイル書き込みアドバイザリ(CVE-2026-20262)の場合、TACは/var/log/nms/vmanage-server.log、/var/log/nms/vmanage-appserver.log、/var/log/nms/containers/service-proxy/serviceproxy-access.logの各マネージャの3つのログファイルで特定のログエントリを検索します。いずれの場合も、基盤となるアクティビティは標準動作中に発生する可能性があります。一致するエントリがあれば、TACによって通常の動作ポスチャに照らして確認されてから、確認済みのインジケータとして扱われます。
Q:セキュリティ侵害の兆候が見つかった場合、どうなりますか。
A:TACから個別のガイダンスが提供されます。アップグレードだけでは、確認された侵害は解決されません。TACのガイダンスは、2026年5月と2026年2月のアドバイザリに関するTechZoneの関連記事に記載されているフローに基づいています。
Q:エッジルータ(Cisco IOS XE)は、これらのアドバイザリの影響を受けますか。
A:これらのアドバイザリは、主にCisco Catalyst SD-WAN制御コンポーネントに影響を与えます。権限昇格アドバイザリ(CVE-2026-20245)に関しては、すべての制御コンポーネント(vManage、vSmart、vBond)が影響を受けます。シスコでは、不正利用によって設定変更がエッジデバイスにプッシュされる限定的なケースを確認しています。ユーザは、エッジデバイスの設定を確認することをお勧めします。任意のファイル書き込みアドバイザリ(CVE-2026-20262)では、脆弱性はSD-WAN Managerファイルシステムに限定され、エッジデバイスに直接影響を与えることはありません。
Q:影響を受ける導入タイプは何ですか。
A:これらのアドバイザリに記載されている脆弱性は、オンプレミス導入、Cisco SD-WAN Cloud-Pro、Cisco SD-WAN Cloud(Cisco Managed)、Cisco SD-WAN for Government(FedRAMP)など、デバイスの設定に関係なくすべてのCisco Catalyst SD-WAN導入タイプに影響を与えます。
Q:2026年5月と2026年2月のアドバイザリはすでにアップグレード済みですが、これらのイベントに関するセキュリティ侵害の兆候は見つかっていません。新しい脆弱性にさらされていますか。
A:コントロールコンポーネントでCVE-2026-20182とCVE-2026-20127の両方の修正済みリリースが実行されていて、確認されたadmin-techファイル内で以前のイベントに対する侵害の兆候が確認されていない場合、確認されたファイルに基づいて、CVE-2026-20245とCVE-2026-20262の両方の認証されていないエクスプロイトパスが影響を緩和されます。これにより、攻撃者が有効なクレデンシャルを保持している場所で危険にさらされる可能性が排除されるわけではありません。これらのアドバイザリの修正済みリリースにアップグレードすることを推奨します。
Q:TACを待つ代わりに、自分で検証を行うことはできますか。
A:admin-techsを共有できないユーザは、付録に記載されている手動の確認ステップを実行できます。結果は暫定的なものです。結果を文書化し、公式評価を実施するTACと共有します。
Q: SD-WANオーバーレイを強化するための一般的なベストプラクティスは何ですか。
A:ベストプラクティスについては、『Cisco Catalyst SD-WAN強化ガイド』を参照してください。
Q:Cisco TACでは、これらの脆弱性に対するフォレンジック分析や調査サービスを提供していますか。
A:Cisco TACでは、両方のPSIRTアドバイザリに記載されているセキュリティ侵害の指標に関するadmin-techファイルを確認することで、ユーザを支援できます。Cisco TACは、詳細なフォレンジック分析やインシデント調査を行いません。包括的なフォレンジック調査や詳細なセキュリティ調査を行う場合は、お客様が希望するサードパーティのインシデント対応(IR)会社と連携することをお勧めします。
| 改定 | 発行日 | コメント |
|---|---|---|
8.0 |
22-Jun-2026
|
20.9より前のリリースで更新された検証手順 |
7.0 |
16-Jun-2026
|
付録の更新による追加情報の追加 |
6.0 |
16-Jun-2026
|
CVE-2026-20262に関する情報の追加 |
5.0 |
12-Jun-2026
|
修正済みソフトウェアリリースが追加されました。 |
4.0 |
11-Jun-2026
|
26.1.1.2イメージのリリース |
3.0 |
10-Jun-2026
|
修正済みバージョン20.18.3.1を追加 |
2.0 |
05-Jun-2026
|
ドキュメントの更新 |
1.0 |
05-Jun-2026
|
初版 |