CISAが2026年2月にKnown Exploited Vulnerabilities KEVへ追加した中でも、特に優先度が高いのがCisco Catalyst SD-WAN Controller 旧vSmart と Cisco Catalyst SD-WAN Manager 旧vManage に影響するCVE-2026-20127です。Ciscoはこの脆弱性をCritical、CVSS 10.0と評価しており、認証されていないリモートの攻撃者が認証を回避して管理権限を取得できる可能性があると公表しています。CISAも、実際に悪用されている脆弱性としてKEVへ追加しました
概要
Ciscoによると、CVE-2026-20127はCisco Catalyst SD-WAN ControllerおよびCisco Catalyst SD-WAN Managerのピアリング認証に存在する不備です。該当システムではピアリング認証メカニズムが適切に機能しておらず、攻撃者は細工したリクエストを送ることで認証を回避できるとされています。悪用に成功すると、内部の高権限、非rootユーザーとしてログインでき、NETCONFにアクセスしてSD-WANファブリックのネットワーク設定を操作できる可能性があります。
また、Cisco Talosは、CVE-2026-20127のアクティブな悪用を追跡しており、UAT-8616と呼称する高度な攻撃者がこのゼロデイを使っていたとしています。
関連:Cisco SD-WANゼロデイが新局面 UAT-8616の長期悪用とPoC公開でサイバー攻撃リスクが上昇(CVE-2026-20127)
対策バージョン
Ciscoは、この脆弱性に対処するソフトウェア更新をすでに公開しており、回避策はないとしています。修正済みリリースとして案内されているのは、20.9系が20.9.8.2、20.11系が20.12.6.1、20.12系が20.12.5.3、20.13系と20.14系と20.15系が20.15.4.2、20.16系と20.18系が20.18.2.1です。20.9.1より前の古い系統は、修正済みリリースへの移行が必要とされています。
Ciscoは、これらの回避策や緩和策はあくまで一時的な手段であり、根本対応として修正済みソフトウェアへのアップグレードを強く推奨しています。したがって、運用現場ではACLなどで一時的に守るだけでなく、修正版への計画的な更新を急ぐ必要があります。
関連記事
Cisco SD-WANゼロデイが新局面 UAT-8616の長期悪用とPoC公開でサイバー攻撃リスクが上昇(CVE-2026-20127)
Five EyesがCisco Catalyst SD-WANのゼロデイ悪用に緊急対応(CVE-2026-20127)
シスコ製メールセキュリティ製品を狙うサイバー攻撃-独自バックドア「AquaShell」を確認
Cisco、IOS XE Wireless LANコントローラーの脆弱性に対する詳細解説が公開(CVE-2025-20188)
Cisco、IOS XE Wireless LANコントローラーの重大脆弱性に対するセキュリティアップデートを公開
シスコ、メールセキュリティ製品の脆弱性 CVE-2025-20393を修正-TOKAIコミュニケーションズのゼロデイ攻撃に悪用
セイコーソリューションズのSkyBridge BASIC MB-A130にOSコマンドインジェクション 脆弱性(CVE-2025-54857)
Cisco URWBで重大な脆弱性 (CVE-2024-20418)
Cisco IOS/IOS XE の SNMPに脆弱性(CVE-2025-20352)
