2026年6月、Cisco Catalyst SD-WAN Managerにおいて、root権限でのコマンド実行につながる可能性がある権限昇格脆弱性CVE-2026-20245が公開されました。本脆弱性はCVSS 7.8(High)と評価されており、SD-WAN ManagerのCLIにおいてユーザー入力値の検証が十分に行われないことにより発生します。攻撃者は細工されたファイルをアップロードしてコマンドインジェクション攻撃を実行でき、悪用に成功した場合、影響を受けるシステム上でroot権限により任意のコマンドを実行できます。
CVE-2026-20245は、単純なローカル権限昇格脆弱性としてのみ捉えるべきではありません。攻撃にはnetadmin権限が必要ですが、有効な認証情報の窃取や、既存のSD-WAN関連認証バイパス脆弱性と組み合わされた場合、攻撃者はSD-WAN Managerの制御権を取得し、さらにedge deviceの設定変更まで試みる可能性があります。実際に、限定的な事例では、本脆弱性の悪用後にedge deviceへconfiguration changeがpushされた形跡についても言及されています。
本記事では、Cisco Catalyst SD-WAN ManagerのCVE-2026-20245における技術的原因と想定される攻撃シナリオを分析し、中央管理システムが外部に公開された場合、組織全体のネットワーク運用にどのようなリスクをもたらすのかを考察します。
CVE-2026-20245脆弱性の概要
| 項目 | 内容 |
|---|---|
| 脆弱性ID | CVE-2026-20245 |
| 影響を受ける製品 | Cisco Catalyst SD-WAN Manager (Cisco SD-WAN vManage) |
| 脆弱性のタイプ | コマンドインジェクション / 権限昇格 |
| CWE | CWE-116 |
| CVSSスコア | 7.8 (High) |
| 攻撃条件 | netadmin 権限が必要 |
| 影響範囲 | rootレベルのコマンド実行, SD-WAN設定の変更 |
CVE-2026-20245は、Cisco Catalyst SD-WAN ManagerのCLIで発生する脆弱性です。問題の本質は、アップロードされるファイルに含まれるユーザー入力値が十分に検証されない点にあります。攻撃者は、細工されたファイルを影響を受けるシステムへアップロードすることでコマンドインジェクション攻撃を実行でき、悪用に成功した場合、root権限で任意のコマンドを実行できます。攻撃者が本脆弱性を悪用するにはnetadmin権限が必要です。このため、表面的には攻撃条件が限定的であるように見える場合があります。しかし、SD-WAN Managerが組織の広域ネットワークポリシーやedge device構成を中央で管理する中核システムである点を考慮すると、netadmin権限の窃取からroot権限への昇格につながる攻撃フローは、非常に高い運用リスクを持ちます。
特にSD-WAN Managerは、単一機器の管理システムではなく、SD-WAN fabric全体を制御する管理ポイントです。そのため、このシステムが侵害された場合、攻撃者は単なるサーバー掌握にとどまらず、edge deviceの設定、ルーティングポリシー、ネットワーク接続構造に影響を及ぼす可能性があります。
技術的原因:細工されたファイルのアップロードと入力値検証の不備
CVE-2026-20245の根本的な原因は、Cisco Catalyst SD-WAN ManagerのCLIで処理されるユーザー入力値の検証が不十分である点にあります。攻撃者はnetadmin権限を取得した状態で、特定の形式に細工されたファイルを影響を受けるシステムへアップロードでき、そのファイルが処理される過程でコマンドインジェクションが発生する可能性があります。問題となるのは、アップロードされたファイルの内容、パス、引数値などが十分に検証されない場合、ファイル処理ロジックが意図しないシステムコマンドの実行につながる点です。この過程で、攻撃者は通常の管理権限を超え、影響を受けるシステム上でroot権限により任意のコマンドを実行できます。
本脆弱性は、認証されていないリモート攻撃者が直ちにroot権限を取得するタイプではありません。攻撃にはnetadmin権限が必要です。しかし、SD-WAN Managerは組織のSD-WAN edge device設定とポリシーを中央で管理する制御ポイントであるため、netadmin権限がroot権限へ昇格した時点で、影響範囲は単一サーバーを超えてネットワーク運用全体へ拡大する可能性があります。特に、攻撃者がroot権限を取得した場合、システムコマンドの実行、設定変更、ログ改ざん、追加アクセス経路の確保など、さまざまな後続行為を試みる可能性があります。したがって、CVE-2026-20245は単純なローカル権限昇格脆弱性ではなく、SD-WAN管理プレーンの制御権を拡大する攻撃経路として捉える必要があります。
想定される攻撃シナリオ
CVE-2026-20245を悪用した攻撃は、単独で開始されるよりも、アカウント窃取、流出した認証情報、または既存のSD-WAN関連脆弱性と組み合わされた形で展開される可能性が高いと考えられます。
外部に公開されたSD-WAN管理資産の識別
攻撃者はインターネットスキャンを通じて、外部からアクセス可能なCisco Catalyst SD-WAN Managerまたは関連する管理インターフェースを探索します。管理ポータル、認証ページ、サービスバナー、証明書情報、公開ポートなどが識別指標として利用される可能性があります。
netadmin権限の取得
攻撃者は、流出した管理者認証情報、再利用されたパスワード、フィッシング、または既存の認証バイパス脆弱性の悪用を通じて、netadmin権限を取得する可能性があります。
CVE-2026-20245を通じたroot権限への昇格
netadmin権限を取得した攻撃者は、CLI機能を通じて細工されたファイルをアップロードし、ファイル処理過程で発生するコマンドインジェクションを利用して、root権限で任意のコマンド実行を試みる可能性があります。
edge deviceの設定変更およびネットワークへの影響拡大
SD-WAN Managerはedge deviceの設定とネットワークポリシーを中央で管理するため、攻撃者はroot権限を取得した後、edge deviceへconfiguration changeをpushしたり、ネットワークポリシーを操作したりする可能性があります。
持続性確保および内部拡散
攻撃者は追加アカウントの作成、設定変更、ログ改ざん、リモートアクセス経路の確保などを通じて、長期的なアクセス権限を維持しようとする可能性があります。この場合、単一の管理サーバー侵害にとどまらず、SD-WAN fabric全体の信頼性が損なわれる可能性があります。
この攻撃フローで重要なのは、SD-WAN Managerが単なる管理コンソールではなく、組織ネットワークの制御プレーンである点です。攻撃者がこのレイヤーへアクセスした場合、個別サーバーの侵害よりもはるかに広い範囲でネットワークへの影響が発生する可能性があります。
Criminal IPで観測可能な外部公開SD-WAN Manager資産
CVE-2026-20245の実際のリスクを判断するには、単に脆弱性の有無を確認するだけでは不十分です。Cisco Catalyst SD-WAN Managerまたは関連する管理インターフェースが、公開インターネットから識別可能な状態にあるかを確認する必要があります。Criminal IP IT資産検索では、以下のようなクエリを使用して外部に公開されたSD-WAN関連資産を確認できます。
Criminal IP 検索クエリ: title: Cisco Catalyst SD-WAN
このクエリは、title値に「Cisco Catalyst SD-WAN」という文字列が含まれる資産を識別する際に活用できます。これは、外部からアクセス可能なWebインターフェースが、Cisco Catalyst SD-WAN Managerまたは関連する管理ページとして識別され得ることを意味します。2026年6月初旬時点のCriminal IP検索結果では、約8,100件のCisco Catalyst SD-WAN関連インターネット公開資産が確認されました。SD-WAN Managerは単なるネットワーク機器の管理ページではなく、SD-WAN edge deviceの設定、ポリシー、ルーティング、接続構造を中央で制御する管理ポイントです。
そのため、このような資産が外部に公開されている場合、攻撃者はまずログインポータルを識別し、その後、アカウントへのログイン試行、流出した認証情報の使用、既存脆弱性との組み合わせ、権限昇格の試行などを順次展開する可能性があります。特にCVE-2026-20245は、攻撃者がnetadmin権限を取得した後、細工されたファイルをアップロードすることでroot権限でのコマンド実行につながる可能性がある脆弱性です。そのため、外部に公開された管理インターフェースは、攻撃者がnetadmin権限を取得するための初期接点として機能し、その後の権限昇格やedge device設定変更へつながる攻撃フローの出発点となる可能性があります。
上記クエリで検知された結果のうち、1件の資産を詳細に分析しました。当該資産では、セキュリティ項目として97件の開放ポート、140件の脆弱性、12件のExploit DB関連項目、2件のポリシー違反が確認されました。特にTCP 80、138、139、143、445、479、750、873、1129、1433、1522、2206など、複数のポートが外部に開放されており、一部のポートには脆弱性が表示されていました。このように、多数のポートと脆弱性情報が同時に観測される資産は、単にCisco Catalyst SD-WAN関連のWebインターフェースが公開されているという水準を超え、攻撃者が追加サービスの探索や攻撃ベクトルの検討を並行して行える高リスク資産として分類できます。
この事例は、Cisco Catalyst SD-WAN Manager資産のリスクを判断する際に、単に「管理ページが外部に公開されているか」だけを確認するのでは不十分であることを示しています。CVE-2026-20245はnetadmin権限を前提としますが、外部に公開された管理インターフェース、多数の開放ポート、関連脆弱性、ポリシー違反のシグナルが組み合わさる場合、攻撃者はアカウントベースのアクセス、既存脆弱性の悪用、権限昇格の試行を段階的に展開する可能性があります。したがって、パッチ適用状況だけでなく、アクセス制限、アカウント活動の点検、設定変更履歴、ログ分析まで含めて優先的に確認する必要があります。
パッチ状況および対応方法
CVE-2026-20245については、現時点で完全なパッチまたは一般的な回避策が提供されていないと報告されています。本脆弱性はCisco Catalyst SD-WAN ManagerのCLIで発生する権限昇格脆弱性であり、攻撃者がnetadmin権限を取得した後、細工されたファイルをアップロードした場合、root権限で任意のコマンドを実行できます。また、限定的な事例では、本脆弱性の悪用後にedge deviceへconfiguration changeがpushされた形跡も確認されています。
したがって、組織は単にソフトウェアアップデートを待つのではなく、現在運用中のSD-WAN Managerに侵害の形跡がないか、設定変更履歴に異常がないかを優先的に点検する必要があります。
特にアップグレード前には、各SD-WAN control componentでrequest admin-techコマンドを実行し、分析に必要なログや状態情報を保存することが推奨されます。
その後、/var/log/scripts.logファイルで、以下のような不審なスクリプト実行の形跡を確認する必要があります。
vconfd_script_upload_tenant_list.shvconfd_script_upload_vsmart_serial_numbers.shvconfd_script_upload_chassis_number_file.sh
ただし、これらのコマンドは通常の運用過程でも記録される可能性があります。そのため、実行時刻、実行アカウント、アップロードファイルのパス、edge deviceの設定変更有無を、通常時の基準と比較して判断する必要があります。
優先的に実施すべき対応は以下のとおりです。
- SD-WAN Managerおよびcontrol componentの現在のバージョンと展開方式を確認
- 各control componentで
request admin-techを実行し、ログを保存 /var/log/scripts.log内の不審なスクリプト実行履歴を点検- netadminアカウントのログイン履歴および権限変更履歴を確認
- edge deviceへpushされたconfiguration changeを確認
- 管理インターフェースへのアクセスを、信頼された管理ネットワークに制限
- 不要な外部アクセス用ポートを遮断
- netadminアカウントのパスワードを変更し、権限を最小化
- 修正版ソフトウェアの適用可否を確認し、可能な場合は迅速にアップグレード
- 侵害の形跡が確認された場合、単純なアップグレードではなく、別途復旧手順を実施
特に注意すべき点は、すでに侵害されたシステムにアップデートのみを適用しても、問題が解決しない可能性があることです。ログで侵害指標が確認され、システムが侵害された状態にあると判断された場合、ソフトウェアアップデートだけでは、攻撃者が残した設定変更やアクセス経路を除去できません。この場合、edge device設定の検証、管理者アカウントの再点検、アップロードファイルの分析、不審なconfiguration pushの有無の確認など、別途復旧手順をあわせて実施する必要があります。
結局のところ、CVE-2026-20245への対応で重要なのは、「パッチが適用されているか」だけではなく、侵害有無を先に確認し、外部からアクセス可能な管理インターフェースを減らすことです。パッチまたは回避策が限定的な状況では、SD-WAN Managerを信頼されたネットワークからのみアクセス可能な状態に制限し、対応後も設定変更履歴と外部公開状況を継続的に検証する必要があります。
FAQ
Q1. CVE-2026-20245のCVSSはCriticalではなく7.8(High)ですが、なぜ緊急対応が必要なのですか?
CVSS 7.8という評価は、ローカル認証が必要であるという条件によってスコアが低くなっています。しかし、CVE-2026-20127(CVSS 10.0)とCVE-2026-20182(CVSS 10.0)が、このローカル認証条件をリモートかつ認証不要の状態で満たす可能性があります。そのため、3つの脆弱性がチェイニングされた場合、実質的なリスクはCVSS 10.0相当として扱う必要があります。単独脆弱性のCVSSスコアだけを見て、対応の優先順位を下げるべきではありません。
Q2. SD-WAN Managerが内部ネットワークにのみ存在する場合、安全ですか?
内部ネットワークへ展開されている場合、認証不要のリモート攻撃ベクトルであるCVE-2026-20127およびCVE-2026-20182への直接アクセスが遮断されるため、攻撃難易度は高まります。ただし、内部ネットワーク内の別経路を通じてnetadmin認証情報が窃取された場合や、すでに内部へ侵入した攻撃者が存在する場合、CVE-2026-20245は直ちにroot権限へ昇格する手段となり得ます。また、UAT-8616のように国家支援型と評価される高度な脅威アクターは、内部ネットワークへ到達するための別の侵入経路を保有している場合があります。
結論
CVE-2026-20245は、Cisco Catalyst SD-WAN Managerのような中央管理システムが侵害された場合、単一機器を超えて組織のネットワーク制御プレーン全体に影響を及ぼす可能性があることを示す事例です。本脆弱性はnetadmin権限を前提としますが、外部に公開された管理インターフェース、流出した認証情報、既存脆弱性の悪用が組み合わさる場合、root権限でのコマンド実行やedge deviceの設定変更につながる可能性があります。特に、本脆弱性は公開時点で完全なパッチや一般的な回避策が提供されていないとされた点で、より高い注意が必要です。このような状況では、単にアップデートの提供を待つのではなく、現在運用中のSD-WAN Managerが外部から識別可能な状態にあるか、不審なスクリプト実行履歴やconfiguration changeが存在しないか、netadminアカウントの活動に異常がないかを優先的に確認する必要があります。
結局のところ、CVE-2026-20245への対応は、「脆弱であるか」を確認するだけで完了するものではありません。攻撃者が実際に当該管理システムを発見してアクセスできる状態にあるか、すでに侵害の形跡が残っていないか、対応後に外部公開状況が実際に減少しているかを継続的に検証する必要があります。
なお、関連してパッチ後も残存する脅威:Cisco ASAを狙うFIRESTARTERバックドア分析 の記事も参考にできます。
Criminal IP(criminalip.io/ja/register) に登録すると、すぐに脆弱資産の検知を開始できます。さらに、下記ボタンからデモをご依頼いただくことで、エンタープライズ環境において外部に露出した資産を対象としたCriminal IP の脅威インテリジェンス(TI)分析を直接ご確認いただけます。
本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。
データソース: Criminal IP(https://www.criminalip.io/ja), SecurityAffairs(https://securityaffairs.com/193203/security/cisco-sd-wan-has-a-new-root-level-problem-and-theres-no-fix-yet.html), TheHackerNews(https://thehackernews.com/2026/06/cisco-catalyst-sd-wan-manager-cve-2026.html), Help Net Security(https://www.helpnetsecurity.com/2026/06/05/cisco-sd-wan-cve-2026-20245-0-day-exploited/)
