Cisco Catalyst SD-WAN Managerのゼロデイ 脆弱性 CVE-2026-20245がサイバー攻撃の悪用 確認

Ciscoは2026年6月4日、Cisco Catalyst SD-WAN Managerに影響する特権昇格脆弱性CVE-2026-20245を公表しました。

CVE-2026-20245は、Cisco Catalyst SD-WAN Manager、旧SD-WAN vManageのCLIに存在する脆弱性です。認証済みのローカル攻撃者が、細工したファイルを対象システムへアップロードすることで、rootユーザーとして任意のコマンドを実行できる可能性があります。CVSS v3.1の基本値は7.8で、深刻度はHighです。

この記事のサマリー

• Cisco Catalyst SD-WAN ManagerにCVE-2026-20245が公表されました。
• 脆弱性はCisco Catalyst SD-WAN ManagerのCLIに存在します。
• 認証済みの攻撃者が細工したファイルをアップロードし、rootとして任意コマンドを実行できる可能性があります。
• CVSS v3.1は7.8で、深刻度はHighです。
• 悪用にはnetadmin権限が必要です。
• Ciscoは2026年6月に、この脆弱性の悪用を確認しました。
• 悪用により、エッジデバイスへ設定変更がプッシュされた限定的な事例が確認されています。
• 現時点でCVE-2026-20245の修正版は未提供です。
• 回避策もありません。
• Ciscoは、アップグレード前に各制御コンポーネントでrequest admin-techを実行し、ログと証跡を保全するよう案内しています。

脆弱性の概要

項目	内容
CVE	CVE-2026-20245
対象製品	Cisco Catalyst SD-WAN Manager、旧SD-WAN vManage
影響箇所	CLI
種別	認証済み特権昇格、コマンドインジェクション
CWE	CWE-116
CVSS v3.1	7.8 High
攻撃条件	対象システム上のnetadmin権限が必要
想定影響	rootユーザーとして任意コマンド実行
悪用状況	Cisco PSIRTが2026年6月に悪用を確認
修正版	現時点で未提供
回避策	なし
報告者	Google CloudのMandiant

Ciscoによると、この脆弱性はユーザー指定入力の検証が不十分であることに起因します。攻撃者は細工したファイルをアップロードすることでコマンドインジェクションを行い、root権限へ昇格できる可能性があります。

影響を受ける製品

Ciscoは、CVE-2026-20245がCisco Catalyst SD-WAN Managerに影響し、デバイス設定に関係なく該当すると説明しています。影響する展開形態は以下です。

展開形態	影響
オンプレミス展開	影響あり
Cisco SD-WAN Cloud-Pro	影響あり
Cisco SD-WAN Cloud、Cisco Managed	影響あり
政府・自治体向けCisco SD-WAN、FedRAMP	影響あり

Ciscoは、脆弱性を含んでいることが確認されている製品として、アドバイザリに記載されたCisco Catalyst SD-WAN Managerのみを挙げています。(

何が起きたか

Cisco PSIRTは2026年6月、CVE-2026-20245の悪用を認識しました。

Ciscoは、攻撃者がこの脆弱性を悪用するにはnetadmin権限が必要だと説明しています。netadmin権限は、有効な認証情報の取得、またはCVE-2026-20182やCVE-2026-20127の悪用によって得られた可能性があります。Ciscoは、これ以外の方法による悪用成功は認識していないとしています。

またCiscoは、この脆弱性の悪用により、エッジデバイスへ設定変更がプッシュされた限定的な事例を確認したと説明しています。SD-WAN ManagerはSD-WAN環境の管理・制御に関わるため、設定変更がエッジデバイスへ反映された場合、単一機器の侵害ではなく、拠点間ネットワーク全体に影響する可能性があります。

CVE-2026-20182、CVE-2026-20127との関係

CVE-2026-20245は、単体ではnetadmin権限を必要とする脆弱性です。

しかしCiscoは、netadmin権限の取得経路として、CVE-2026-20182またはCVE-2026-20127の悪用を挙げています。CVE-2026-20182は、Cisco Catalyst SD-WAN ControllerおよびCisco Catalyst SD-WAN Managerのピアリング認証に関する認証回避脆弱性で、悪用に成功すると、攻撃者が管理者権限を取得できる可能性があります。

Cisco Talosは、CVE-2026-20182の悪用をUAT-8616として追跡しており、同攻撃グループが以前CVE-2026-20127も悪用していたと説明しています。Talosによると、UAT-8616はCVE-2026-20182悪用後にSSHキーの追加、NETCONF設定変更、root権限への昇格を試みていました。

つまり、CVE-2026-20245は、既にSD-WAN環境へ侵入した攻撃者がroot権限を取得するための後続攻撃として悪用される可能性があります。境界機器の侵害確認では、単にCVE-2026-20245だけを見るのではなく、CVE-2026-20182、CVE-2026-20127、過去のSD-WAN Manager脆弱性の悪用痕跡もあわせて確認する必要があります。

なぜ危険なのか

Cisco Catalyst SD-WAN Managerは、SD-WAN環境の管理・設定・ポリシー反映に関わる重要な管理コンポーネントです。

ここでroot権限を取得された場合、攻撃者は管理システム上で高権限コマンドを実行できる可能性があります。さらに、Ciscoが確認したように、エッジデバイスへ設定変更がプッシュされる場合、拠点ルーティング、接続ポリシー、VPN、制御プレーン、管理アクセスに影響する恐れがあります。

想定される影響は以下です。

想定される影響	内容
root権限取得	SD-WAN Manager上で任意コマンドを実行される可能性
設定変更	エッジデバイスへ不正な設定がプッシュされる可能性
監視回避	ログ削除、履歴消去、設定改ざんの恐れ
永続化	SSHキー追加、アカウント作成、バックドア設置の恐れ
ネットワーク制御	経路、ポリシー、拠点間通信の操作につながる可能性
横展開	管理情報や認証情報を使って他システムへ侵入される可能性

SD-WAN Managerは、一般的なサーバーよりもネットワーク全体への影響が大きい管理プレーンです。攻撃者がここを掌握すると、各拠点の通信制御やルーティングポリシーに影響を与える可能性があるため、EDRが入っている端末だけを監視していても十分ではありません。

Ciscoが案内している確認ポイント

Ciscoは、CVE-2026-20245に関して、/var/log/配下のscripts.logを監査するよう案内しています。特に、vconfd_script_upload_tenant_list.sh、vconfd_script_upload_vsmart_serial_numbers.sh、vconfd_script_upload_chassis_number_file.shなどの実行ログを確認対象として挙げています。

ただし、Ciscoは、これらのログは正当な運用でも発生し得るため、ログだけでは正当利用と悪用を区別できないと説明しています。発生元、実行日時、アップロードされたファイル、変更内容、作業申請、運用履歴と突合する必要があります。

または、アップグレード前にSD-WAN環境内の各制御コンポーネントからrequest admin-techコマンドを実行し、侵害の兆候となる情報を保全するよう案内しています。アップグレード後に証跡が失われる可能性があるため、更新前のログ保全が重要です

すぐに実施すべき対応

Step 1：Cisco Catalyst SD-WAN Managerの利用有無を確認する

まず、自社でCisco Catalyst SD-WAN Managerを利用しているか確認してください。

確認対象は、本社環境だけではありません。海外拠点、子会社、グループ会社、データセンター、クラウド管理環境、Cisco SD-WAN Cloud、FedRAMP相当の政府・公共向け環境も確認対象です。

確認対象	内容
オンプレミスSD-WAN Manager	自社データセンターや管理ネットワークで稼働していないか
Cisco SD-WAN Cloud-Pro	クラウド管理型の利用有無
Cisco Managed Cloud	Cisco管理のSD-WAN環境の利用有無
海外拠点	現地IT部門が独自に管理していないか
子会社・グループ会社	別契約・別管理のSD-WAN環境がないか
検証環境	古いvManage環境が停止されず残っていないか

Step 2：修正済みソフトウェアへの更新状況を確認する

CVE-2026-20245自体の修正版は、現時点で未提供です。

ただしCiscoは、2026年5月14日に公開されたCatalyst SD-WAN Security Advisoryに記載された修正済みソフトウェアへアップグレードすることを推奨しています。これは、netadmin権限の取得経路になり得るCVE-2026-20182などのリスクを抑えるために重要です。

更新前に確認すべき項目は以下です。

項目	内容
現在のバージョン	SD-WAN Manager、Controller、Validator、Edgeのバージョン
修正済みリリース	2026年5月14日アドバイザリに対応したリリースか
クラスタ構成	複数ManagerやControllerの構成
admin-tech取得	アップグレード前に証跡を保全したか
ロールバック	更新失敗時の復旧手順
エッジ設定	不審な設定変更が反映されていないか
TAC連携	侵害疑い時にCisco TACへ渡す情報を準備できるか

Step 3：request admin-techで証跡を保全する

Ciscoは、侵害の兆候に関する情報を保存するため、アップグレード前にSD-WAN環境内の各制御コンポーネントでrequest admin-techを実行するよう案内しています。対象には、最近の不正な設定変更を示す可能性があるエッジデバイスも含まれます。

確認すべき対象は以下です。

対象	内容
SD-WAN Manager	管理プレーンの証跡
SD-WAN Controller	制御プレーンの証跡
Validator / vBond相当	オーケストレーション関連の証跡
Edgeデバイス	最近の不正な設定変更の有無
ログ保管先	改ざんされない場所へ保管
TAC提出準備	必要時にCisco TACへ提供できる形式で保存

アップグレードを先に実施すると、一部ログや状態情報が失われる可能性があります。侵害疑いがある環境では、証跡保全を優先してください。

Step 4：scripts.logを確認する

Ciscoは、/var/log/配下のscripts.logを監査するよう案内しています。

確認すべき例は以下です。

確認対象	見るべき内容
vconfd_script_upload_tenant_list.sh	不審なファイルパス、想定外の実行日時
vconfd_script_upload_vsmart_serial_numbers.sh	通常運用にないシリアル番号アップロード
vconfd_script_upload_chassis_number_file.sh	ZTP関連の想定外ファイル
/home/admin/配下	不審なCSV、細工されたファイル、作成日時
実行ユーザー	正規作業者か、不明なnetadminか
実行時刻	メンテナンス時間や変更申請と一致するか

Ciscoは、ログ上では正当な利用と悪意ある利用を区別できない場合があると説明しています。不明なログがある場合は、Cisco TACへ相談することが推奨されます。

Step 5：netadmin権限を持つアカウントを棚卸しする

CVE-2026-20245の悪用にはnetadmin権限が必要です。

そのため、netadmin権限を持つアカウントの棚卸しが重要になります。

確認項目	内容
netadminアカウント	現在の全アカウントを一覧化
退職者・異動者	不要アカウントが残っていないか
委託先アカウント	作業期間終了後も残っていないか
共用アカウント	利用者を特定できないアカウントがないか
認証方式	MFA、SSO、ローカル認証の状況
パスワード変更	侵害疑い時に資格情報をローテーション
ログイン履歴	通常と異なる送信元や時間帯の利用

有効な認証情報を使われた場合、操作は正規ユーザーの操作に見える可能性があります。認証成功後のファイルアップロード、CLI操作、設定変更を重視して確認してください。

監視で確認すべきポイント

Cisco Catalyst SD-WAN環境では、単に脆弱性の有無だけでなく、既に侵害されていないかを確認する必要があります。

監視対象	見るべき内容
scripts.log	不審なファイルアップロード、CLI経由のスクリプト実行
auth.log	不審なログイン、未知IPからのSSH、vmanage-admin利用
cli-history	想定外のCLI実行、履歴欠落
bash_history	rootや管理ユーザーの履歴削除、空ファイル
authorized_keys	不審なSSH公開鍵の追加
NETCONFログ	想定外の設定変更、変更申請と不一致の操作
Edge設定	不審なテンプレート適用、ポリシー変更、VPN設定変更
Control connection	未知のピア、想定外のvmanage/vsmart/vedge/vbond接続
バージョン変更	不自然なダウングレード・アップグレードと再起動
ログサイズ	0バイトや異常に小さいログ、履歴消去

Cisco Talosは、過去のUAT-8616関連の調査で、悪意あるユーザー作成、rootセッション、不正なSSHキー、ログ消去、想定外のピア追加・削除、ソフトウェアのダウングレードと復元などを確認ポイントとして挙げています。

侵害が疑われる場合の対応

Ciscoは、ログに侵害の兆候がありシステム侵害が確認された場合、ソフトウェア更新だけでは脆弱性対応として不十分だと説明しています。その場合は、Cisco TACが提供する具体的な修復手順に従ってシステムを保護する必要があります

侵害が疑われる場合は、以下を実施してください。

対応	内容
証跡保全	request admin-tech、ログ、設定、変更履歴を保全
TAC連携	Cisco TACへCVE番号と状況を共有
資格情報ローテーション	netadmin、vmanage-admin、SSH鍵、API認証情報を変更
不審アカウント削除	未承認アカウント、不要なSSH鍵を削除
Edge設定確認	全エッジデバイスの設定差分を確認
管理経路制限	SD-WAN Managerの管理アクセス元を限定
ネットワーク分離	管理プレーンへの到達範囲を最小化
監視強化	設定変更、ピアリング、ログ消去を重点監視

情報システム部門が確認すべきポイント

SD-WAN Managerをインターネットから直接触れない構成にする

Ciscoは、インターネットに公開されているCisco Catalyst SD-WAN Managerシステムで、ポートがインターネットに公開されている場合、侵害リスクがあると説明しています。(Cisco)

SD-WAN Managerの管理インターフェースや制御関連ポートは、管理ネットワーク、VPN、踏み台、ゼロトラストアクセスなどに限定し、広くインターネットへ露出させない構成にしてください。

管理プレーンの変更を通常の変更管理と突合する

SD-WAN環境では、設定変更が正規作業でも頻繁に発生します。

そのため、不審な変更を見つけるには、変更管理記録、チケット、作業日時、作業者、対象デバイス、差分、ログを突合する必要があります。作業申請のないEdge設定変更やテンプレート変更は、侵害の可能性として扱うべきです。

過去のSD-WAN脆弱性もまとめて確認する

CVE-2026-20245は、netadmin権限を前提とする脆弱性です。したがって、攻撃者がどのようにnetadmin権限を得たかを確認しなければ、根本対応になりません。

Cisco Talosは、CVE-2026-20182、CVE-2026-20127、CVE-2026-20133、CVE-2026-20128、CVE-2026-20122など、2026年に複数のSD-WAN関連脆弱性の悪用を報告しています。(Cisco Talos Blog)

過去の修正適用状況、管理インターフェース露出、ピアリングイベント、不審なwebshell、SSHキー追加、設定変更を一括して確認してください。

参考情報・出典

• Cisco：Cisco Catalyst SD-WAN Managerの認証済み特権昇格の脆弱性
• Cisco：Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability（CVE-2026-20182）
• Cisco Talos：Ongoing exploitation of Cisco Catalyst SD-WAN vulnerabilities
• Cisco Talos：Active exploitation of Cisco Catalyst SD-WAN by UAT-8616