シスコSD-WANを狙うゼロデイ攻撃、CSVファイル1つでroot権限を奪取――Mandiantが詳細を報告
2026年6月26日 17:59
Google傘下のセキュリティ企業Mandiantは、Cisco Catalyst SD-WAN Managerのゼロデイ脆弱性「CVE-2026-20245」を悪用した高度なサイバー攻撃の分析結果を公開した。攻撃者は悪意あるCSVファイルを1つアップロードするだけで、デバイスの完全なroot権限を奪取していたという。すでに修正パッチが公開されているが、パッチ適用前に侵害の有無を確認するための証拠保全を行うことが強く推奨されている。
■CSVファイル1つでroot権限を奪取する仕組み
Google傘下のセキュリティ企業Mandiantは、Cisco Catalyst SD-WAN Managerに対する高度な侵入キャンペーンのフォレンジック(科学捜査)分析結果を公開した。この攻撃では、悪意を持って作成されたわずか1つのCSVファイルを使用することで、同管理システムにおけるrootレベルの制御権が奪取されていたという。
Cisco Catalyst SD-WAN Managerは、組織の広域ネットワーク(WAN)におけるすべてのエッジデバイスのルーティングポリシー、トラフィック制御、およびセキュリティセグメンテーションを統括する中央コントローラーだ。
今回悪用されたのは、コマンドインジェクションの脆弱性「CVE-2026-20245」である。Ciscoがこの脆弱性の存在を把握する数ヶ月前からゼロデイ攻撃として悪用されており、被害に遭ったサービスプロバイダーは、侵入されている期間中、構造的に防御できない状態に置かれていた。
Mandiantの報告書は、単なるパッチ適用のアドバイザリにとどまらず、攻撃者がどのようにしてrootアクセスを取得し、何を行ったのか、およびなぜ標準的なパッチ適用だけでは一度成功した侵害の痕跡を完全に消し去ることができないのかを詳細に明らかにしている。
CVE-2026-20245は、2026年だけでCisco SD-WAN製品においてアクティブな悪用が確認された7番目のゼロデイ脆弱性となる。セキュリティ研究者らは、この頻発傾向は統計的な偶然ではなく、SD-WANのコードベースにおける「セキュリティ負債」の蓄積を示していると指摘する。なお、修正パッチは公開されており、米サイバーセキュリティ・インクラセキュリティ庁(CISA)が設定した連邦政府機関向けの対処期限は6月23日に経過している。
■悪意あるCSVファイルがroot資格情報を書き換えるプロセス
Mandiantの報告書が明らかにした技術的な核心は、CVE-2026-20245の悪用メカニズムにある。この脆弱性は、Cisco Catalyst SD-WANのコマンドラインインターフェース(CLI)に備わっている「テナントアップロード機能」に存在する。この機能は管理者が設定ファイルをアップロードするためのものだが、処理を実行する前にファイル内容の適切な検証が行われていなかった。
攻撃者はこの不備を突き、CLIコマンド「request tenant-upload tenant-list /home/admin/evil_tenant.csv vpn 0」を使用して、evil_tenant.csvという名前のファイルをアップロードした。
このファイルには、Linuxの2つの核心的な認証データベースを操作するペイロード(不正コード)が含まれていた。アカウント情報を格納する「/etc/passwd」と、ハッシュ化されたパスワードを格納する「/etc/shadow」である。攻撃者はこれら2つのファイルに偽のエントリを追加することで、フルroot権限を持つ「troot」という新しいアカウントを、アラートを発生させることなく、また他の脆弱性を追加で悪用することもなく作成した。その後、標準のLinuxコマンドである「su」を使用して、侵害した管理者セッションから新しく作成した「troot`」アカウントに切り替え、デバイスの完全な制御権を手に入れた。
Mandiantの調査によると、攻撃者が悪用の準備段階で使用した「vmanage-admin」や「admin」アカウントは、本来はrootシェルへのアクセス権限を持っていない。CVE-2026-20245こそが、その権限の壁を飛び越えるための手段として機能したという。
■侵入の足がかりとなった「ピアリング信頼」の悪用
CVE-2026-20245を悪用するためには、攻撃者があらかじめ対象のSD-WAN Managerデバイス上で「netadmin」(ネットワーク管理者)レベルの資格情報を保持している必要があった。Mandiantの調査では、これらの資格情報が2つの段階を経て取得されたプロセスが再構築されている。
まず2025年末から2026年1月にかけて、被害組織のSD-WANインフラにおいて、未認可のピアリング接続が複数観測された。Cisco Catalyst SD-WANの展開において、ピアリングとは、エッジルーター、コントローラー、および管理ノードが、UDPポート12346上のDTLSを介して暗号証明書を用いて相互に認証し、ルーティングテーブルを交換して安全なトンネルを構築する仕組みを指す。
Mandiantは、この最初の侵入において、ハンドシェイクを処理する「vdaemon」サービスに影響を与える2つの深刻な認証バイパスのゼロデイ脆弱性(CVE-2026-20127およびCVE-2026-20182)が悪用された可能性が高いと指摘している(ただし、初期段階の正確な侵入手法は完全には確認されていない)。
その後、2026年3月に、攻撃者はCVE-2026-20127の脆弱性が存在しないデバイスに対して、2回目の未認可ピアリング接続を確立した。Ciscoは、この第2波においてCVE-2026-20182も関与していないことを確認している。このことから、CiscoとMandiantは、攻撃者が最初の侵害時に盗み出した証明書データを使用して、信頼されたピアとして再認証を行った可能性が高いと分析している。ピアリングが確立されると、攻撃者はSSH経由で「vmanage-admin」アカウントを使用してSD-WAN Managerにログインした。
■コントローラー1台の侵害がネットワーク全体に及ぼす脅威
Cisco Catalyst SD-WAN Managerに対するrootアクセスの獲得が、他の一般的なデバイスへの侵入よりも決定的に危険である理由は、その役割にある。
SD-WAN Managerは、単なるネットワーク上の1つのノードではない。SD-WANファブリック内のすべてのエッジデバイスに対して、ルーティングポリシー、トラフィック制御ルール、QoS(サービス品質)分類、およびセキュリティセグメンテーションの設定を定義する「中央オーケストレーションプラットフォーム」である。管理者がManager上で設定変更を適用すると、その変更は接続されているすべての拠点のすべてのエッジルーターに同時に反映される。
つまり、SD-WAN Managerのroot権限を手にした攻撃者も、これと全く同じ権限を持つことになる。Ciscoは、CVE-2026-20245に関連して観測されたいくつかの侵入事例において、実際に下流のエッジデバイスに対して設定変更がプッシュされていたことを確認している。ただし、具体的にどのような設定が変更され、それがどの程度の期間維持されていたのかについては、攻撃者が施した巧妙な証拠消去工作により、完全には復元できなかった。
■検出を免れる「Living off the Edge」と徹底した証拠消去
Mandiantは、今回のCVE-2026-20245を用いたキャンペーンを、セキュリティ業界で「Living off the Edge(エッジでの自給自足)」と呼ばれる手法の典型例として位置づけている。これは、高度な脅威アクターが、EDR(Endpoint Detection and Response)などの監視ツールの対象外となりやすいネットワーク管理アプライアンスを優先的に標的にするアプローチだ。
Mandiant Consultingの最高技術責任者(CTO)であるCharles Carmakal氏は、レポートのコメントにおいて「高度な敵対者は、EDRソリューションをネイティブにサポートしていないネットワークデバイスやその他のシステムを、引き続き主な標的にし続けている」と述べている。
この事実が意味する実務上の影響は大きい。多くの組織が管理対象のエンドポイント(PCやサーバーなど)の周囲に構築している防御アーキテクチャ(振る舞い分析、EDRエージェント、高度なヒューリスティック機能を備えたウイルス対策など)は、Cisco Catalyst SD-WAN Managerのようなアプライアンスの侵害に対しては、構造的に「盲目」になってしまう。これらの機器は特殊なオペレーティングシステムで動作しており、一般的なエンドポイントに比べて出力されるテレメトリ(ログや稼働データ)が極めて少ないため、高度な攻撃者が好む「監視の死角」が生じることになる。
この死角こそが、今回のキャンペーンがMandiantの調査によって発覚するまで約6ヶ月間も検出されずに稼働し続けた理由であり、侵入の全容解明において、ファイルシステムの直接的な証拠ではなく、ログ分析やディスクの低レベルな痕跡に頼らざるを得なかった原因でもある。
さらに、攻撃者は目的(管理者パスワードの変更、SD-WANファブリック設定の抽出、CVE-2026-20245によるroot昇格、およびtrootアカウントの作成)を達成した後、極めて組織的な証拠消去(アンチフォレンジック)を実行していた。
攻撃の過程で作成されたファイルはすべて削除され、不正なtrootアカウントをホストしていた「/etc/passwd」や「/etc/shadow」を含む、変更されたすべてのシステム設定ファイルが元の状態に復元された。さらに攻撃者は、セッションを終了する前に、フォレンジックの痕跡が残っていないかを確認するための検証スクリプトを実行していた。管理者アカウントのパスワードも、セッション終了前に元の値に戻されていた。
GoogleのThreat Intelligence Groupでプリンシパル脅威アナリストを務めるAustin Larsen氏は、パスワードを元の状態に戻す行為について、「管理者が日常的なログインを行う際に異常に気づかないようにするための、意図的な欺瞞工作である」と指摘している。
この徹底した消去工作により、Mandiantによるフォレンジック復元の範囲は限定的なものにとどまっている。現時点で、SD-WANファブリックの設定情報以外のデータ流出は確認されていない。しかし、こうした高度な証拠消去工作が行われた状況においては、「確認された証拠がないこと」は「流出がなかったこと」を意味しない。
■コードベースの課題と管理者が今すぐ取るべき対策
CVE-2026-20245は、2026年にアクティブな悪用が確認された7番目のCisco SD-WANの脆弱性である。これまでに、CVE-2026-20182、CVE-2026-20127、CVE-2026-20122、CVE-2026-20128、CVE-2026-20133、およびCVE-2022-20775の悪用が確認されている。
Cloud Security Allianceの研究者がこのパターンを分析したところ、これら一連の脆弱性の多くが、独立した個別のバグではなく、vdaemonサービス、CLIレイヤー、NETCONFチャネルといった重複するコンポーネントに関連していることが判明した。この傾向は、SD-WANのコードベースにおけるデバイス間の信頼関係、管理プレーンの認証、および管理者入力の処理において、セキュリティ負債が蓄積していることを示唆しており、CiscoのSD-WANインフラを標的としたキャンペーンが一時的なものではなく、構造的に継続していることを示している。
なお、この脆弱性を発見しCiscoに報告したMandiantの研究者は、Chester Sng氏、Pete Boonyakarn氏、Logeswaran Nadarajan氏である。攻撃を実行した脅威アクターの具体的な身元は特定されていない。ただし、証拠消去工作の高度さ、複数波にわたる侵入構造、および通信インフラへの執拗な標的化は、国家の支援を受けたアクター、または極めて豊富な資金力を持つ犯罪グループの特徴と一致しているが、Mandiantは公式な帰属の特定を避けている。
Cisco Catalyst SD-WANを運用している組織にとって、対処の「手順」はパッチの適用そのものと同じくらい重要である。フォレンジック証拠を保存せずにパッチを適用してしまうと、そのシステムが修正前に侵害されていたかどうかを判断する術が失われてしまうからだ。
CiscoおよびMandiantが推奨する具体的な対応手順は以下の通りである。
1. パッチ適用前の証拠保全:パッチを適用する前に、各SD-WAN制御コンポーネントで「request admin-tech」コマンドを実行し、診断データを収集する。このファイルが、調査に利用できる主要なフォレンジック痕跡となる。
2. システムのアップグレード:データの収集が完了した後にのみ、システムを修正済みバージョンにアップグレードする。CVE-2026-20245の修正パッチは、SD-WAN Managerの以下のリリースに含まれている。対象バージョンは、20.9.9.2、20.12.7.2、20.15.4.5、20.15.5.3、20.18.3.1、および26.1.1.2である。
3. 侵害が疑われる場合の対応:ログの確認や診断データから侵害の兆候が見つかった場合は、通常のセルフサービスによるパッチ適用ではなく、Cisco TAC(Technical Assistance Center)に連絡して個別に対処を依頼する必要がある。侵害されたシステムにパッチを適用しても、脆弱性は塞がれるが、攻撃者がすでに残したバックドアなどの痕跡は削除されない。
4. 脅威ハンティングの実施:管理者は、不審なSD-WANピアリング接続の有無を調査し、vmanage-adminアカウントのSSH認証ログを確認する必要がある。
■注目ポイントQ&A
●Cisco SD-WAN Managerでroot権限が奪取されると、どのような影響がありますか?
Cisco Catalyst SD-WAN Managerはネットワーク全体の設定を統括する中央コントローラーであるため、root権限が奪取されると、攻撃者は正規のネットワーク管理者と同等の権限を持つことになります。これにより、トラフィックの迂回、ファイアウォールやセグメンテーションルールの変更、数千台のエッジルーターへの設定変更の同時適用などが可能になり、内部ネットワークのトラフィックを継続的に監視される恐れがあります。
●攻撃者はどのようにしてCVE-2026-20245を悪用したのですか?
攻撃者は、Cisco Catalyst SD-WANのCLIにあるテナントアップロード機能のコマンドインジェクション脆弱性を悪用しました。悪意あるCSVファイル(evil_tenant.csv)をアップロードすることで、Linuxの認証ファイル(/etc/passwdおよび/etc/shadow)に偽のエントリを追加し、フルroot権限を持つ新規アカウント(troot)を作成しました。その後、標準のsuコマンドを使用してこのアカウントに切り替え、完全なrootシェルアクセスを取得しました。
●自社のCisco SD-WANが侵害されているかどうかを確認するにはどうすればよいですか?
パッチを適用する前に、各SD-WAN制御コンポーネントで「request admin-tech」コマンドを実行して診断データを収集してください。また、vmanage-adminアカウントのSSH認証ログに不審なエントリがないか、未認可のSD-WANピアリング接続が行われていないかを確認してください。もし侵害の兆候が見つかった場合は、単にパッチを適用するだけでなく、Cisco TAC(Technical Assistance Center)に連絡して個別に対処を依頼する必要があります。
●CVE-2026-20245の修正パッチが提供されているバージョンを教えてください。
Ciscoは、SD-WAN Managerのバージョン 20.9.9.2、20.12.7.2、20.15.4.5、20.15.5.3、20.18.3.1、および 26.1.1.2 で修正パッチをリリースしています。この脆弱性は、オンプレミス、Cloud-Pro、Cisco Managed Cloud、およびFedRAMP政府環境を含むすべてのCisco Catalyst SD-WAN展開タイプに影響します。
元記事: Cisco SD-WAN Zero-Day Exploit: Mandiant Reveals Malicious CSV Opened Root Shell