Cisco Catalyst SD-WAN Managerの管理プレーンを揺らす2脆弱性、すでに悪用確認—“集中管理”が逆手に取られる前に封じ込めるべき理由です

今日の深掘りポイント

• 管理プレーン直撃の脆弱性がアクティブ悪用中という事実は、単体サーバの侵害にとどまらず「全拠点へ一斉波及」するリスクを意味します。SD-WANの設計思想そのものが攻撃者の“フォースマルチプライヤー”になります。
• CVE-2026-20122（認証済みリモートによる任意ファイル上書き、CVSS 7.1）は、それ単体でも設定・認証・起動スクリプトの改ざんに直結し、RCEや持続化への踏み台になり得ます。チェーン前提でリスク評価を上げるべきです。
• CVE-2026-20128（ローカル権限取得、CVSS 5.5）は一見ミドルですが、管理ソフト上の“データ収集ユーザー”への昇格はログ・機密設定・認証素材への接触面を一気に広げます。横展開のドアが開きます。
• 露出管理がすべての起点です。インターネット直結UI/API、広すぎる管理VPN、弱いSSO/多要素の穴が最短ルートになります。まず「どこに晒しているか」をゼロベースで洗い直すべきです。
• 現場向けの“即応手順”は、パッチ適用だけでは不十分です。セッション失効、資格情報・APIトークンのローテーション、テンプレート/ポリシー改ざん検査、証明書・信頼関係の再確立まで含めてワンセットで設計すべきです。

はじめに

CiscoのSD-WAN管理ソフト（Cisco Catalyst SD-WAN Manager）に関する2件の脆弱性が、すでに現実世界で悪用されていると報じられています。ひとつは認証済みリモート攻撃者による任意ファイル上書き（CVE-2026-20122）、もうひとつはローカルでの権限取得（CVE-2026-20128）です。管理プレーンに位置する“司令塔”が揺らぐと、分散した数百・数千拠点へ一挙に影響が波及しやすく、攻撃の即時性と実行可能性が際立ちます。新規性よりも「いま動いている」ことが重要で、行動優先の案件です。運用への負荷は避けられませんが、ここで腰を上げるかどうかが、数週間後の被害規模を分けます。

参考として、本件のアクティブ悪用に関する報道が出ています（一次ソースのアドバイザリは各自最新情報を必ず確認して運用判断してください）[1]。

深掘り詳細

事実関係（現時点で判明していること）

• 影響プロダクト: Cisco Catalyst SD-WAN Manager（旧vManage系の管理プレーンに相当）です。
• 脆弱性1: CVE-2026-20122
  • 認証済みリモート攻撃者がローカルファイルシステム上の任意ファイルを上書き可能です。
  • 報告CVSSは7.1です。
• 脆弱性2: CVE-2026-20128
  • ローカル攻撃者がデータ収集エージェント（DCA）ユーザー権限を取得し得ます。
  • 報告CVSSは5.5です。
• 状況: アクティブ悪用が確認され、Ciscoは修正ソフトへのアップグレードを強く推奨しています[1]。

出所: The Registerの報道による要約です[1]。運用判断はCisco公式アドバイザリの版数/影響バージョン/回避策を必ず確認のうえ行ってください。

編集部の視点・インサイト

• ファイル上書きは“ゴール”ではなく“入口”です。認証済みである以上、実運用では有効セッション・低権限アカウント・APIトークンの奪取と組み合わされる前提で評価すべきです。上書き対象が設定テンプレート、起動スクリプト、署名されていないプラグイン、ログローテーションスクリプト等であれば、RCE・持続化・痕跡除去の足がかりになります（仮説）です。
• DCA権限は“見える化の窓”を“侵入の窓”に変えます。収集基盤に触れられるということは、ログ改ざん・機微設定の把握・認証情報の派生取得（キャッシュ、バックアップ、平文保存の誤設定があれば特に）につながりやすいです。横移動と痕跡隠蔽の同時進行が現実味を帯びます（仮説）です。
• 管理プレーンが破られると、攻撃者は「正規の機能」で被害を拡大できます。例えば、全拠点へのポリシー配布、VPN/アプリルートの変更、DNS/HTTPのリダイレクト、デバイス証明書の再配布、管理アカウントの一括作成などです。これらは運用コンソール上では“成功ログ”として記録されるため、検知のハードルが上がります。
• 緊急性・実行可能性が高い一方で、技術的な新規性は限定的です。つまり、既存のフィッシング・クレデンシャル詐取・露出資産の悪用に、この脆弱性が“よく効く増幅器”として組み込まれるフェーズに入ったと読むべきです。SOCは「従来の認証情報の不正使用アラート＋管理ソフトの改ざん挙動」を束ねる相関検知に重心を移すべきです。

脅威シナリオと影響

以下は編集部の仮説シナリオで、MITRE ATT&CKに沿った観点を付しています。自社環境の実装差分に合わせて適用範囲を見直してください。

• シナリオ1: 外部露出した管理UI/APIに対し、奪取済みの正規アカウントでログイン後、CVE-2026-20122を突いて設定テンプレートや起動スクリプトを上書き、RCEと持続化を確立します。

  • 初期アクセス: Valid Accounts（T1078）、Exploit Public-Facing Application（T1190・UI/APIが外部公開されている場合）
  • 実行/持続化: Command and Scripting Interpreter（T1059）、Boot or Logon Autostart Execution（T1547）
  • 防御回避: Modify Existing Service/Script（T1036の文脈で偽装）
  • 影響: Network Configuration Manipulation（T1565.001）、Service Stop/Degradation（T1489）です。

• シナリオ2: 管理端末のマルウェア感染を起点に低権限の管理アカウントとAPIトークンを窃取し、CVE-2026-20128でDCA権限を得て収集基盤・バックアップを探索、資格情報と証明書素材を収集して横展開します。

  • 権限昇格: Exploitation for Privilege Escalation（T1068）
  • 資格情報アクセス: Unsecured Credentials（T1552）、Credentials from Password Stores（T1555）
  • 偵察/横移動: Remote Services（T1021）、Exfiltration Over Web Services（T1567）
  • 防御回避: Clear Windows/Linux Event Logs（T1070）です。

• シナリオ3: 破壊・金銭化志向の攻撃者が、管理プレーンから全拠点ルーティングを一斉変更し、業務停止を引き金に恐喝します。復旧の鍵として“正規ポリシーの復元”を人質に取ります。

  • 影響: Service Stop（T1489）、Defacement/Traffic Redirection（T1565.002/環境依存）
  • コマンド&コントロール: Ingress Tool Transfer（T1105）で管理ソフトへツール設置
  • 持続化: Create Account（T1136）でバックドア管理者を作成です。

観測すべき兆候（仮説）

• 短時間に集中する設定変更ジョブやテンプレート更新、普段使わない時間帯・地域からの管理ログインです。
• 管理ソフト上の新規APIトークン発行、ロール/権限の変更、未知の管理者アカウント追加です。
• 監査ログや収集ログの欠落・断続、ログローテーション設定やスクリプトの変更です。
• 大量のポリシー配布失敗や拠点の一斉再接続、証明書再配布の異常です。

セキュリティ担当者のアクション

“パッチを当てる”は最初の一手にすぎません。管理プレーンのリスクは「露出削減＋資格情報衛生＋改ざん検査＋信頼関係の再確立」まで含めて閉じにいくべきです。

• 露出面の即時縮小（最優先）

  • 管理UI/APIのインターネット露出を停止し、管理VPN/ゼロトラスト・アクセスに限定します。到達元IPを厳格に許可リスト化します。
  • SSO/MFAを強制し、管理者ロールの分離（最小権限）を再確認します。
  • 外部公開が不可避な場合は、緊急的にWAF/リバースプロキシで認証前後の異常パターン（PUT/POST異常、ファイルアップロード、テンプレート更新の多発）を監視・遮断します。

• アップグレードと運用上の安全策

  • Ciscoの最新アドバイザリに従って修正済みバージョンへ直ちにアップグレードします（冗長構成があればスタンバイ系から段階適用し、ロールバック計画と整合性検証を必須化）です。
  • アップグレード前にフルバックアップとスナップショットを取得し、バックアップのハッシュと保管先の整合性を確認します。

• セッションと資格情報の衛生改善

  • 既存セッションと発行済みAPIトークンを一括失効し、全管理アカウントのパスワード/認証器をローテーションします。サービスアカウントの権限を棚卸しし、不要ロールを削除します。
  • 管理ソフトが保持する装置用資格情報・証明書・PSKが閲覧/抽出可能な設計であれば、漏えい前提でローテーション計画を策定・実行します。

• 改ざん・侵害の早期発見とハンティング

  • 管理ソフトの監査ログ（認証、設定変更、ポリシー配布、アカウント/RBAC変更、API呼び出し）を中央に集約し、以下に高優先度ルールを設定します。
    • 短時間の連続テンプレート変更、異常時間帯の管理操作、未知IPの管理ログイン、急増するAPIトークン発行です。
  • ファイル改ざん検知（構成テンプレート、ジョブ/スクリプト、プラグイン、ログ設定）を導入し、異常変更のアラート閾値を厳しめに設定します。
  • DCA/収集基盤のログ欠落・時刻歪み・循環参照（自分自身のログを急に拾い始める等）を“改ざん兆候”として監視します。

• 侵害疑い時の封じ込め・復旧

  • 管理プレーン侵害の合理的疑いがあれば、フォレンジックを前提に管理ソフトを再構築（クリーンインストール）し、構成は“既知良”のバックアップから限定的に復元します。
  • 併せて、オーバレイの信頼関係（コントローラ/エッジ間の証明書・トラストストア・PSK）を段階的に再発行し、悪性ポリシーの残存有無を確認します。
  • 影響範囲が広い場合、ベンダTACとCSIRT、JPCERT/CC等の外部支援窓口と早期に連携します。

• ガバナンスとレジリエンス

  • 管理プレーンに対するSLAを「機器より速く」へ。特にゼロデイ/悪用中の案件は“週内適用”の意思決定ラインを標準化します。
  • 変更管理では“誰が/いつ/何を/どこへ配布したか”を監査し、四半期ごとにランダムサンプリングで整合性監査を実施します。
  • 攻撃対応訓練（全拠点に誤配布された致命的ポリシーの巻き戻し演習）を年1回は実施し、停止時間の上限と復旧手順の成熟度を計測します。

最後に、この種の案件は「パッチ適用＝終了」ではありません。管理プレーンが“武器化”されること自体を前提に、露出・権限・監査の三本柱で構えを固めることが、次のニュースで“自社の名前が出ない”ための最短コースです。

参考情報

• Cisco warns of active exploitation of two SD-WAN bugs（The Register, 2026/03/06）

注記: 上記は二次ソースです。運用判断・適用版数・緩和策は必ずCisco公式アドバイザリの最新版を確認のうえ決定してください。