title: "Cisco SD-WAN Manager ゼロデイ(CVE-2026-20245)が実環境で悪用|エッジ機器の設定改ざんも観測、確認手順と対応" description: "Cisco Catalyst SD-WAN Manager等のゼロデイCVE-2026-20245(CVSS7.8)が実環境で悪用され、CISA KEVにも追加された。netadmin権限を起点にroot奪取、エッジ機器の設定改ざんも観測。情シス・ネットワーク管理者・CISO向けに影響条件、更新版、確認チェックリストを整理する。" keyword: "Cisco SD-WAN Manager 脆弱性 CVE-2026-20245 ゼロデイ CISA KEV" slug: "cisco-sdwan-manager-zeroday-cve-2026-20245-20260625" date: "2026-06-25" updatedAt: "2026-06-25" category: "セキュリティ" tags: ["Cisco","SD-WAN","脆弱性","ゼロデイ","ネットワーク"] author: "GXO株式会社" lead_summary: "Cisco SD-WAN管理基盤のゼロデイが実環境で悪用。netadmin権限からroot奪取、エッジ設定改ざんも観測。固定版への更新と痕跡保全が急務。"
Cisco SD-WAN Manager ゼロデイ(CVE-2026-20245)が実環境で悪用|エッジ機器の設定改ざんも観測、確認手順と対応
結論:netadmin権限を持つアカウントが奪われると、root権限まで一気に昇格される
Ciscoは2026年6月4日、Catalyst SD-WAN Controller、Catalyst SD-WAN Manager、Catalyst SD-WAN Validatorに影響する権限昇格の脆弱性 CVE-2026-20245 に関するセキュリティアドバイザリ(cisco-sa-sdwan-privesc-4uxFrdzx)を公開した。CVSS基本値は 7.8 である。
この脆弱性は、netadmin権限を持つ認証済みのローカル攻撃者が、細工したファイルをアップロードすることでroot権限の任意コマンドを実行できる というものだ。Ciscoの製品セキュリティインシデント対応チーム(PSIRT)は実環境での悪用を確認しており、CISA(米国サイバーセキュリティ・インフラセキュリティ庁)の悪用が確認された脆弱性カタログ(KEV)にも追加された(報道によると追加日は2026年6月9日)。
最初に取るべき行動は次の3つである。
- 自社のSD-WAN制御コンポーネント(Manager/Controller/Validator)のソフトウェアバージョンを確認する
- 更新前に各制御コンポーネントで
request admin-techを実行し、侵害の痕跡(IOC)を保全する - Ciscoが公開した固定版へ速やかに更新する
押さえるべき1点:これは「外部から誰でも攻撃できる」種類の脆弱性ではない。netadmin権限の奪取が前提になる「二段目の昇格手段」であり、すでに別の侵入経路と組み合わせて悪用が観測されている点が深刻である。
自社のSD-WANやネットワーク機器のバージョン・露出を即答できない場合は、セキュリティの脆弱性診断でネットワーク機器・管理基盤を棚卸しし、影響範囲を可視化するところから始めるとよい。管理基盤の侵害が全拠点に波及する構図は、連載セキュリティ失敗図鑑でも繰り返し扱っている。
EMERGENCY RESPONSE
この脆弱性、貴社システムは影響を受けますか?
影響範囲の一次評価を無料で実施。致命的脆弱性は24時間以内にアラートし、パッチ適用・恒久対応まで伴走します。
影響条件と固定版(一次情報)
| 項目 | 内容 |
|---|---|
| 脆弱性ID | CVE-2026-20245 |
| アドバイザリID | cisco-sa-sdwan-privesc-4uxFrdzx |
| 公開日 | 2026年6月4日(Cisco) |
| CVSS基本値 | 7.8 |
| 影響製品 | Catalyst SD-WAN Controller / Manager / Validator |
| 影響を受ける構成 | オンプレ、Cloud-Pro、Cloud Managed、FedRAMPを含む各構成 |
| 攻撃の前提条件 | netadmin権限を持つ認証済みローカル攻撃者 |
| 攻撃手法 | 細工したファイルのアップロード(出力エスケープ処理の不備・CWE-116) |
| 影響 | root権限での任意コマンド実行 |
| 悪用状況 | 実環境での悪用をCisco PSIRTが確認 |
| 観測された被害 | 限定的なケースでエッジ機器への設定変更を観測 |
| CISA KEV | 追加済み(報道によると2026年6月9日) |
| 報告者 | Google Mandiantの研究者 |
| 固定版(一例) | 20.9.9.2 / 20.12.7.2 / 20.15.4.5 / 20.15.5.3 / 20.18.3.1 / 26.1.1.2 |
固定版の正確な対応関係は、自社の稼働バージョンごとにCisco公式アドバイザリのFixed Softwareセクションで照合する必要がある。上表の固定版は公開時点の一例であり、ブランチによって最初の固定版が異なる。
なぜこの脆弱性が深刻なのか
CVSS 7.8という値だけを見ると「外部公開された機器を狙うリモート脆弱性」よりは静かに見える。しかし、SD-WAN管理基盤という位置づけと、実際に観測された攻撃の流れを踏まえると、優先度を下げてよい脆弱性ではない。
1. 内部権限を奪われた後の「横展開」を一段加速させる
CVE-2026-20245はnetadmin権限を前提とする昇格手段である。攻撃者は別の脆弱性や認証情報窃取でnetadmin相当のアクセスを得たうえで、本脆弱性を使ってroot権限まで昇格する。報道によると、Mandiantは攻撃者がCLIのファイルアップロード機能を悪用し、悪意あるファイルを送り込んで /etc/passwd や /etc/shadow のバックアップを作成したうえで、root権限を持つ新規アカウントを作成した経路を確認したとされる。root取得後は監視回避や永続化が進み、検知が一段と難しくなる。
2. SD-WAN管理基盤は「全拠点のネットワークを束ねる中枢」である
SD-WAN Managerは、本社・支店・拠点・データセンターのルーティングやポリシーを集中管理する基盤だ。ここを掌握されると、攻撃者は個別機器を1台ずつ狙う必要がなくなる。Ciscoは、本脆弱性の悪用によりエッジ機器へ設定変更が押し付けられた限定的なケースを観測したと公表している。つまり、管理基盤の侵害が末端の通信経路の改ざんに直結しうるということだ。
3. CISA KEV入りは「観測された実害」を意味する
CISAのKEVカタログは、実際に悪用が確認された脆弱性のみを掲載する。掲載は、米国連邦機関に対して期限付きの是正を義務づけるものであり、民間企業にとっても優先対応すべき指標になる。理論上の懸念ではなく、実害が確認された段階であることを前提に対応計画を組む必要がある。
確認・対応チェックリスト
ネットワーク管理者・情シスが順に確認すべき項目を整理した。
| ステップ | 確認・実施事項 |
|---|---|
| 1. 棚卸し | SD-WAN Manager / Controller / Validatorの台数・バージョン・構成(オンプレ/クラウド)を把握する |
| 2. 該当判定 | 稼働バージョンがCisco公式アドバイザリの影響範囲に含まれるか照合する |
| 3. 痕跡保全 | 更新前に各制御コンポーネントで request admin-tech を実行し、IOCを保全する |
| 4. アカウント点検 | 見覚えのない管理者/root権限アカウント、/etc/passwd等の不審な変更がないか確認する |
| 5. 設定差分 | エッジ機器の設定が意図せず変更されていないか、構成のベースラインと突き合わせる |
| 6. 認証情報 | netadmin等の特権アカウントの棚卸し・パスワード/鍵のローテーションを検討する |
| 7. 更新適用 | 自社ブランチに対応する固定版へ更新する |
| 8. 監視強化 | 管理基盤へのアクセスログ、構成変更ログの監視を一定期間強化する |
| 9. 影響評価 | 侵害が疑われる場合は影響範囲調査・インシデント対応へ移行する |
特に重要なのは、更新を急ぐあまりに痕跡保全を飛ばさないこと である。すでに侵害されていた場合、更新で証跡が上書きされると原因究明が困難になる。request admin-tech による情報採取を更新前に行うのが、Ciscoが案内する手順の趣旨である。
よくある質問
Q. インターネットに公開していなければ安全か。 A. 本脆弱性はnetadmin権限を持つ認証済みローカル攻撃者を前提とするため、誰でもリモートから直接悪用できるものではない。ただし実環境では、別の侵入経路で内部に入った攻撃者が本脆弱性で昇格する流れが観測されている。境界防御だけを根拠に対応を後回しにするのは妥当ではない。
Q. 緩和策(回避策)はあるか。 A. Cisco公式アドバイザリは固定版への更新を案内している。回避策の有無や暫定対応の可否は構成によって異なるため、自社環境ではCisco公式情報とサポートに確認することを推奨する。本記事は更新版適用を前提に整理している。
Q. すでに侵害されていないか、どう確認すればよいか。
A. 不審な特権アカウントの作成、/etc/passwd・/etc/shadow等の改変、意図しないエッジ機器の設定変更などが手がかりになる。確実な判定には、更新前のIOC保全と専門的なログ・フォレンジック調査が必要になる。
Q. SD-WANを使っていない場合は無関係か。 A. 本脆弱性はCatalyst SD-WANの制御コンポーネントに固有である。ただし、ネットワーク機器・管理基盤を起点とする侵害は他製品でも繰り返し起きており、特権管理・ログ監視・構成ベースラインの仕組みを点検する好機ととらえることを勧めたい。
この記事を読むべき人
- Cisco Catalyst SD-WANを自社運用している情報システム部門・ネットワーク管理者
- 拠点間ネットワークやクラウド接続の管理基盤の安全性に責任を持つCISO・セキュリティ責任者
- ベンダー運用や保守委託先任せで、自社の機器バージョンや更新状況を即答できない管理者
- 過去にネットワーク機器の脆弱性対応が後手に回り、棚卸しと監視の仕組みを見直したい担当者
GXOに相談すべきタイミング
- 自社のSD-WANやネットワーク機器の脆弱性影響範囲を、台数・バージョン単位で把握できていない
- 更新は適用したいが、痕跡保全や侵害有無の確認まで手が回らない
- 特権アカウントの棚卸し、構成ベースライン、ログ監視の仕組みが整っておらず、次の脆弱性にも備えたい
- 侵害が疑われ、影響範囲調査やインシデント対応の体制が社内にない
GXOでは、ネットワーク機器・管理基盤を含む脆弱性診断・アセスメントで影響範囲を可視化し、侵害が疑われる場合のインシデント対応、再侵入を防ぐゼロトラストの設計までを一貫して支援する。ベンダー運用や保守委託先がある環境でも、自社が把握すべき論点の整理から伴走する。
記事から相談までの導線
- まず自社のSD-WAN制御コンポーネントのバージョンを棚卸しし、Cisco公式アドバイザリと照合する
- 更新前に痕跡保全を行い、不審な特権アカウントや設定変更がないか点検する
- 影響範囲の判定や特権管理・監視の再設計に不安がある場合は、脆弱性診断・アセスメントを起点にGXOへ相談する
確認・対応チェックリストは資料としても使える。実務チェックリストなどの資料をダウンロードから入手できる。
関連記事
- UniFi OSにCVSS10.0×3でフルRCE|CISAがKEV追加
- Check Point VPN認証バイパス(CVE-2026-50751)をQilinランサムが悪用
- Cisco Catalyst SD-WAN ロードマップ2026|更改の考え方
関連リンク
参考資料
- Cisco Security Advisory "Cisco Catalyst SD-WAN Controller, Catalyst SD-WAN Manager, and Catalyst SD-WAN Validator Authenticated Privilege Escalation Vulnerability"(cisco-sa-sdwan-privesc-4uxFrdzx) https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx
- CISA Known Exploited Vulnerabilities Catalog https://www.cisa.gov/known-exploited-vulnerabilities-catalog
本記事は2026年6月25日時点の公開情報をもとに作成。CVSS値、影響バージョン、固定版、悪用状況は変動しうるため、対応の際はCisco公式アドバイザリおよびCISA KEVの最新情報を必ず確認すること。CISA KEV追加日(2026年6月9日)、Mandiantが報告した攻撃手法の詳細、観測された設定改ざんの範囲は、Cisco公式以外の二次報道に基づく記載を含む。
更新を急いで痕跡保全を飛ばす前に、SDWANの侵害有無を確かめませんか
GXOでは、ネットワーク機器・管理基盤を含む脆弱性診断、侵害が疑われる場合のインシデント対応、再侵入を防ぐゼロトラスト設計までを一貫して支援します。
※ ベンダー運用・保守委託先がある環境でも相談可 | 情シス・ネットワーク・セキュリティ担当の同席歓迎
