CVE-2026-20127: Cisco SD-WANゼロデイ攻撃、2023年から悪用され続ける

新しい日、新たな脆弱性スポットライトに注目。広範に配備されたプラットフォームで武器化された欠陥がどれほど迅速に実際の運用リスクに変わるかを再び目の当たりにしています。最も深刻なCiscoのバグのカバレッジ（CVE-2025-20393, CVE-2026-20045）、およびDell RecoverPointのゼロデイ CVE-2026-22769は、攻撃者がますますエッジフロントのインフラストラクチャを優先し、トラフィックの流れ、アイデンティティのパス、サービスの可用性を静かに制御するということを示しています。

その物語は、Critical Authentication BypassがCisco Catalyst SD-WAN Controller（以前のvSmart）およびCisco Catalyst SD-WAN Manager（以前のvManage）に影響を与えるCVE-2026-20127で続きます。Cisco Talosは、この欠陥が積極的に悪用されていると報告しており、高度なスキルを持つ脅威アクターが2023年以降、少なくともそれを悪用していると高い確信を持って評価しています。

GreyNoise の2026年エッジの状態レポート が示しているように 、エッジ向けネットワーク制御システムで確認された悪用が急を要す行動を求められる理由があります。2025年下半期、GreyNoise は3.8百万のユニークなソースIPから2.97億の悪意あるセッションを観察し、攻撃者が露出された面に焦点を合わせるとどれだけ迅速にエクスプロイトトラフィックがスケールするかを強調しています。

SOC PrimeのAIネイティブ検出インテリジェンスプラットフォームに登録し、最新技術とトップサイバーセキュリティの専門知識をバックにしてサイバー脅威をアウトスケールし、強靭なサイバーセキュリティ態勢を構築しましょう。クリックして 検出を探る と、脆弱性エクスプロイト検出のための包括的なSOCコンテンツのコレクションにアクセスし、カスタム“CVE”タグでフィルタリングされています。

検出を探る

専用ルールセットの検知コンテンツは、複数のSIEM、EDR、データレイクプラットフォームに適用でき、最新のMITRE ATT&CK®フレームワーク v18.1 にマッピングされています。セキュリティチームはUncoder AIを活用して、ライブの脅威レポートから直接ルールを生成し、検知ロジックを精緻化・検証し、Attack Flowを自動可視化し、IOCをカスタムのハンティングクエリに変換し、多様な言語フォーマット間で検知コードを即座に翻訳することで、検知エンジニアリングをend-to-endで加速できます。

CVE-2026-20127 分析

Cisco Talos は、 CVE-2026-20127 を、認証されていないリモート攻撃者が認証をバイパスし、細工されたリクエストを送信することで影響を受けるシステムで管理者特権を得ることを可能にする問題として説明しています。Ciscoの公開 アドバイザリー は、適切に機能していないピアリング認証メカニズムが根本原因であると結び付けています。

成功するエクスプロイトは、攻撃者がCatalyst SD-WAN Controllerに内部の高特権、非rootアカウントとしてログインし、そのアクセスを利用してNETCONFに到達し、SD-WANのファブリック構成を操作することを可能にします。そのようなコントロールプレーンへのアクセスこそが、SD-WAN の事件がいかに破壊的であるかという点に関して、攻撃者がネットワークの動作を形作る位置にあることを示しています。

複数の政府およびパートナーのアドバイザリーは、共通のポストエクスプロイト経路を説明しています。CVE-2026-20127を悪用した後、追加の不正なピアを追加し、SD-WAN環境内でルートアクセスと長期間の存続に向けて動く様子が観察されています。Talosは、 インテリジェンスパートナー が、ソフトウェアのバージョンダウングレードを伴うエスカレーション、CVE-2022-20775の悪用、および元のバージョンへの復元を観察しており、チームが“現在の”実行バージョンのみを検証する場合、検出が複雑化する可能性がある一連の活動を指摘しています。

エクスプロイトが確認され、サイトとクラウド間の接続性の管理に使用されるシステムに影響を与えるため、CISAは 緊急指令26-03 を米国連邦民間機関に発し、2026年2月27日の午前5時（ET）までに必要な行動を完了する加速要件を設けました。FedRAMPも同様の緊急性を連邦環境をサポートするクラウドプロバイダーに通知しました。

CVE-2026-20127 緩和策

Ciscoのアドバイザリーによれば、CVE-2026-20127は、デバイス構成に関係なく、次のデプロイメントタイプにわたって、Cisco Catalyst SD-WAN ControllerおよびCisco Catalyst SD-WAN Managerに影響を与えます。

• オープランデプロイメント
• Cisco ホステッド SD-WAN クラウド
• Cisco ホステッド SD-WAN クラウド – Cisco 管理
• Cisco ホステッド SD-WAN クラウド – FedRAMP 環境
  
  

Ciscoは、この脆弱性を完全に無効にする回避策がないことも指摘しています。耐久的な修正は、パッチが適用されたリリースにアップグレードすることであり、Ciscoのアドバイザリーの中の 修正済みソフトウェア セクションに正確な修正版が記載されています。

ユーザーは、唯一の完全な修正としてパッチを優先させることを促され、すべての対象範囲のCatalyst SD-WAN ControllerおよびManagerインスタンスで修正が実際に行われているか確認する必要があります。

次に、ユーザーがパッチを当てて確認する間に攻撃面を減少させるために、 CISA と UK NCSC のガイダンスは、ネットワーク露出を制限し、SD-WAN制御コンポーネントをファイアウォールの背後に配置し、管理インターフェースを信頼できないネットワークから分離することを強調しています。同時に、SD-WANログを外部システムに転送して、攻撃者が簡単にローカルの証拠を消去できないようにする必要があります。

最後に、これはパッチ適用と調査イベントの両方として扱う方が良いです。Ciscoは、 /var/log/auth.log を監査して、未知または不正なIPアドレスからの“Accepted publickey for vmanage-admin”のようなエントリを確認し、それらのソースIPをManager UI（WebUI > デバイス > システムIP）にリストされている構成済みのシステムIPと比較することを推奨しています。ユーザーが妥協を疑った場合、CiscoはCisco TACに相談し、管理技術の出力（例えば、 request admin-techを介して）を収集してレビューできるようにすることを推奨しています。

報告された活動がバージョンダウングレードおよび予期せぬ再起動の挙動をポスト妥協の連鎖の一部として含まれている可能性があるため、公的ガイダンスもダウングレード/再起動インジケータを確認するために次のログをチェックすることを推奨しています：

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log
  
  

パッチおよび緩和手順を超えてカバレッジを強化するために、 SOC Primeプラットフォーム に依存し、世界最大の検出インテリジェンスデータセットにアクセスし、検出からシミュレーションまでのエンドツーエンドのパイプラインを採用し、セキュリティ運用を効率化し、レスポンスワークフローをスピードアップし、エンジニアリングオーバーヘッドを削減し、新たに出現する脅威に先行してください。