フォローする 
シスコは2026年に悪用された7つ目のSD-WANゼロデイを開示し、CVE-2026-20245として追跡しています。この欠陥はCisco Catalyst SD-WAN Managerのコマンドラインインターフェイスに影響を与え、認証済みのリモート攻撃者がnetadmin権限を持つ場合に任意のコマンドを実行できるように root として細工されたファイルをアップロードすることが可能です。シスコは、限られたケースでの悪用が既に観察されており、構成変更がエッジデバイスにプッシュされた事例が含まれていると述べています。
リスクはアクセス要件によって増幅されます。シスコは、攻撃者が既にnetadmin権限を持っている必要があり、それは盗まれた認証情報や以前に開示されたSD-WANの脆弱性(CVE-2026-20182やCVE-2026-20127など)を連鎖することで得られる可能性があるとしています。Help Net SecurityとSecurityWeekが要約したシスコの開示によると、この問題はすべてのCisco Catalyst SD-WAN展開タイプ(オンプレ、Cloud-Pro、Cisco Managed Cloud、FedRAMP環境)に影響します。
CVE-2026-20245の分析
CVE-2026-20245の分析における主要な弱点は、SD-WAN Manager CLIでのユーザー提供入力の確認不足です。シスコの公開説明によれば、認証された攻撃者が細工されたファイルをアップロードしてコマンドインジェクションを引き起こし、結果的に影響を受けるシステムでroot権限を昇格させることができるとしています。SecurityWeekによれば、シスコのPSIRTは2026年6月に悪用を知り、そのバグが既に野に放たれて悪用されていたことから、開示が加速したと示唆しています。
CVE-2026-20245の最も重要な詳細は、これはそれ自体としてはリモート未認証バグではなく、エクスプロイトパスは以前のSD-WANの妥協活動に密接に結びついているように見えるということです。シスコは、必須の特権アクセスを最初に取得しない限り成功した悪用はないことを認識しており、守備側はこの問題を単独の初期アクセスベクターではなく、より広範なSD-WAN侵入チェーンの一部として扱うべきです。
開示時点では、引用された情報源は公のCVE-2026-20245 PoCを指し示さなかったが、シスコは活用が進行中であることを確認し、Mandiantが欠陥を報告したと述べた。実際的な意味では、攻撃者のCVE-2026-20245ペイロードは、CLIワークフローを通じてアップロードされた細工されたファイルであり、通常のマルウェアドロッパーが装置の外部から届けられるものではない。
運用の観点からすると、CVE-2026-20245はSD-WAN展開の中で最も機密性の高いシステムに影響を与える可能性があります。なぜなら、SD-WAN Managerは管理プレーンに位置しているためです。シスコは、観測された悪用がエッジデバイスへの構成変更をもたらしたと述べており、成功した悪用は管理ノード自体を超えて広範なネットワークのインフラストラクチャの動作を変更する可能性があることを意味しています。
CVE-2026-20245の緩和
開示時点でパッチも回避策も提供されておらず、CVE-2026-20245の緩和はシステムの強化、証拠の保存、妥協レビューに焦点を当てています。Help Net Securityが引用したシスコのガイダンスによると、各コントロールコンポーネントから管理技術データを収集してからアップグレード作業を行い、エッジデバイスの設定を確認するように、としています。このアドバイスは、ソフトウェアのアップデートだけでは既に妥協されている場合に完全に解決しない可能性があるため、重要です。
シスコは、特定のログガイダンスの形でCVE-2026-20245 IOCも発表しています。Help Net Securityは、顧客がこれらのログを確認し、妥協が確認されれば、直接シスコTACと協力して的を絞った修復ステップを踏むべきであると述べています。SecurityWeekもまた、シスコが修正を含む将来のCatalyst SD-WAN Managerリリースの準備をしている間に、インジケーターを入手可能にしたと指摘しています。
CVE-2026-20245を検出しようとする守備側にとって、最も実用的なアプローチは、SD-WAN Managerアプライアンスで認可されていないrootレベルのアクティビティや疑わしいファイルアップロード、エッジデバイスへの予期しない設定プッシュのサインを確認することです。シスコが必要なアクセスを盗まれた資格情報や以前のSD-WANバグに結びつけたため、組織は以前に開示された認証および権限昇格の脆弱性がすべて資産内で完全に修正されたことを確認する必要があります。
より広範に見れば、CVE-2026-20245の検出は通常のパッチ管理というよりはインシデントレスポンスとして扱うべきです。ログが濫用を示している場合、シスコは将来のソフトウェア修正をインストールするだけでは環境の安全性が保証されないと警告しており、顧客は確認された妥協に合わせた回復ガイダンスのためTACに参加するべきです。
FAQ
CVE-2026-20245とは何であり、どのように機能するのか?
これは、Cisco Catalyst SD-WAN ManagerのCLIにおけるコマンドインジェクション脆弱性です。シスコは、netadmin権限を持つ攻撃者が、影響を受けるシステムに細工されたファイルをアップロードし、rootとして任意のコマンドを実行できるとしています。
CVE-2026-20245はいつ初めて発見されましたか?
非公開の発見日は引用された報告では公表されていません。公表されたのは、シスコが2026年6月5日に欠陥を開示し、PSIRTが6月に悪用を知り、Mandiantが脆弱性を報告したとされたことです。
CVE-2026-20245がシステムに及ぼす影響は何ですか?
成功した悪用により、Cisco Catalyst SD-WAN Managerでrootとして任意のコマンド実行が可能になります。シスコはまた、悪用によりエッジデバイスに構成変更がプッシュされるケースを観察したとも述べており、ネットワーク全体に広がる影響の可能性があることを示唆しています。
CVE-2026-20245は2026年でも影響を及ぼす可能性がありますか?
はい。影響を受けるCisco Catalyst SD-WAN Manager展開は、パッチが当てられておらず、攻撃者が必要なnetadmin権限を盗まれた資格情報やSD-WANの脆弱性の連鎖を通じて取得できる場合、2026年でもまだ露出する可能性があります。開示時点で、シスコはまだ修正をリリースしていませんでした。
CVE-2026-20245からどのようにして自分を守ることができますか?
管理技術収集プロセスで証拠を保存し、シスコの公開ログインジケーターを確認し、エッジデバイスの設定を確認し、関連するSD-WANアクセスの脆弱性を修復し、シスコの将来の修正をできるだけ早く適用してください。妥協が確認された場合、シスコはTACと協力することを勧めています。パッチを適用するだけではシステムを完全に修正できないかもしれません。
