タグアーカイブ SD-WAN

Cisco SD-WAN Managerにゼロデイ攻撃、root権限奪取の手口を解説

Cisco SD-WAN Managerにゼロデイ攻撃、root権限奪取の手口を解説

Google傘下のMandiantは2026年6月24日、Cisco Catalyst SD-WAN Managerを標的としたゼロデイ攻撃の分析レポートを公開した。脆弱性CVE-2026-20245を悪用し、認証済みの限定的なアクセスからroot権限を奪取する高度な手口が確認されている。

この攻撃は2026年初頭からサービスプロバイダーを狙ったもので、不正なピアリング接続と巧妙な痕跡消去を組み合わせていた。ネットワーク機器を管理するソフトウェア定義型のコントローラーが、国家支援型の脅威アクターにとって格好の標的になっている実態が浮き彫りになった。

Cisco SD-WAN Managerを狙ったゼロデイ攻撃の概要

Cisco SD-WAN Managerを狙ったゼロデイ攻撃の概要

問題の脆弱性CVE-2026-20245は、Cisco Catalyst SD-WAN ManagerのCLI(コマンドラインインターフェース)に存在する。ファイルアップロード機能が悪意あるデータを適切にフィルタリングしない点に起因し、細工したCSVファイルを送り込むだけでroot権限のコマンド実行が可能になる。

Mandiantの調査によると、攻撃者はまず何らかの方法で管理者権限を取得した後、この脆弱性を利用して特権を昇格させた。一連の流れの中で特に注目すべきは、攻撃後にシステム設定を元に戻し、侵入の痕跡を徹底的に消去するアンチフォレンジック手法が用いられた点だ。こうした手口は、ネットワークの中央制御プレーンが持つ「ブラックボックス性」を悪用するもので、従来型の境界防御だけでは検知が難しい。

STEP 1 不正ピアリング接続でSSHアクセスを確立
STEP 2 vmanage-adminでadminパスワードを変更しWeb UIから設定を窃取
STEP 3 悪意あるCSVをアップロードしCVE-2026-20245を悪用、root権限を取得
STEP 4 痕跡消去と検証スクリプト実行でアンチフォレンジック

この攻撃キャンペーンの特徴は、単一の脆弱性を突くだけではなく、ピアリング認証の弱点やデフォルトアカウントの操作を組み合わせている点にある。ネットワーク機器のセキュリティ対策において、パッチ適用だけでなくアカウント管理やログ監視の重要性を改めて示す事例だ。

SD-WANとピアリングの基礎知識

SD-WANとピアリングの基礎知識

従来のWANとSD-WANの違い

従来のWAN(Wide Area Network)は、拠点ごとに専用ルーターを設置し、物理的な回線で接続する構成が一般的だった。この方式は拡張性に乏しく、クラウドサービスの利用が増えるにつれて運用負荷が高まる課題があった。

これに対しSD-WAN(Software-Defined Wide Area Network)は、ネットワークの制御機能をハードウェアから分離し、集中管理するアプローチを取る。銀行、小売チェーン、医療機関など拠点が多い組織では、単一の管理画面から全拠点のルーター設定やトラフィック制御を一元的に操作できる利点がある。ただし、その中央集権的な構造自体が、攻撃者にとっては魅力的な標的にもなる。

ピアリングとは何か

SD-WAN環境におけるピアリングとは、エッジルーターやハブ、コントローラーといった機器間で信頼関係を確立するプロセスを指す。具体的には、機器同士がデジタル証明書を使って相互認証し、セキュアな通信トンネルを自動構築する。

このピアリングの認証メカニズムに脆弱性があると、攻撃者は正規の証明書がなくてもネットワークに不正に接続できる。今回の攻撃でも、Ciscoが別途公表しているCVE-2026-20127やCVE-2026-20182が初期アクセスに悪用された可能性が指摘されている。これらの脆弱性は、リモートから認証をバイパスして管理者権限を奪取できる深刻なものだ。

侵入キャンペーンの詳細

侵入キャンペーンの詳細

不正ピアリング接続による初期アクセス

Mandiantの観測では、2025年末から2026年1月にかけて、被害組織のSD-WAN Managerに対して複数の不正なピアリング接続が行われていた。この時期、CVE-2026-20127およびCVE-2026-20182のパッチは未提供であり、それらが悪用された可能性が高い。

2026年3月には、これらの脆弱性の影響を受けないソフトウェアバージョンの機器でも不正ピアリングが確認された。Ciscoの分析によれば、この接続はCVE-2026-20182を利用したものではなく、過去の侵害で窃取された証明書が再利用されたとみられる。攻撃者が同一かどうかは現時点では不明だが、標的の機器に対して持続的に関心を持っていたことは明らかだ。

管理者パスワードの操作と設定情報の窃取

攻撃者は不正ピアリングで確立したSSHセッションを使い、vmanage-adminアカウントでログインした。このアカウントはデフォルトで存在するが、単体ではroot権限を持たない。

ログイン後、攻撃者はadminアカウントのパスワードを変更し、Web管理インターフェースに直接アクセスした。そして、SD-WANファブリック全体の設定情報をHTTPリクエストで引き出したことがログから確認されている。設定情報の窃取が完了すると、パスワードを元に戻してセッションを切断するという慎重な手口が取られた。日常的な管理者ログインと見分けがつかないように偽装する意図があったと考えられる。

攻撃前の状態(通常運用)
管理者 adminアカウントで通常ログイン
パスワードは日常的に変更されず、監査ログも定常的なパターン
攻撃者の操作(検知困難な偽装)
攻撃者 vmanage-adminで侵入 → adminパスワード変更 → 設定窃取 → パスワード復元
セッション切断後は通常のログと見分けがつかない

この手法は「Living off the Land」と呼ばれる戦術の一種で、正規のツールやアカウントを悪用することで異常検知を回避する。SD-WAN Managerのような中央管理装置では、管理操作そのものが日常的に発生するため、こうした偽装が特に有効になりやすい。

CVE-2026-20245を利用した権限昇格

2026年4月、攻撃者はadminアカウントでSSHセッションを確立した後、evil_tenant.csvというファイルをアップロードするコマンドを実行した。このCSVには、システムのパスワードファイルに新しいroot権限ユーザーを追加するペイロードが含まれていた。

具体的には、以下のような処理が行われる。

  • 既存のテナント設定ファイルをバックアップし、不正なCSVで上書き
  • /etc/passwd/etc/shadowをバックアップ後、trootというroot権限ユーザーを追記
  • 攻撃者はsuコマンドでtrootに切り替え、完全なシステム制御を取得

この一連の操作は、ファイルアップロード機能が入力を適切に検証しない設計上の欠陥を突いたものだ。Cisco Catalyst SD-WAN ManagerのCLIは、本来テナント管理のために用意されたコマンドが、結果的に任意コード実行へのゲートウェイになった。

痕跡消去とアンチフォレンジック手法

攻撃者は目的を達成した後、作成したファイルをすべて削除し、変更した設定を元に戻した。さらに、自らが残した痕跡が完全に消えているかを確認する検証スクリプトまで実行している。

このスクリプトは、evil_tenant.csvやバックアップファイルの存在、trootアカウントの有無、テナント設定ファイルの復元状態をチェックするものだった。こうした徹底したクリーンアップは、攻撃者が長期的な潜伏を意図しているか、あるいはフォレンジック調査を著しく困難にする高度な運用セキュリティ意識を持っていることを示唆する。

組織が取るべき対策と修復手順

組織が取るべき対策と修復手順

今回の攻撃から得られる教訓は、パッチ適用の迅速化だけにとどまらない。複数のセキュリティレイヤーを組み合わせた多層防御が不可欠だ。

脆弱性の修正とパッチ適用

CiscoはCVE-2026-20245、CVE-2026-20127、CVE-2026-20182に対する修正版をリリースしている。対象バージョンは20.9.9.2、20.12.7.2、20.15.4.5、20.15.5.3、20.18.3.1、26.1.1.2以降だ。これらのバージョンへのアップグレードを最優先で進める必要がある。

IOCスイープと脅威ハンティング

すべてのSD-WANコントロールプレーンコンポーネントでrequest admin-techコマンドを実行し、ログと診断データを収集する。Mandiantが公開したIOC(Indicators of Compromise)と照合し、不審なピアリング接続やvmanage-adminアカウントの不正使用がないかを調査する。

アカウントとログの強化

デフォルトアカウントのパスワードポリシーを厳格化し、vmanage-adminのような特権アカウントのSSHログインを監視する。/var/log/auth.logにおける短時間でのパスワード変更や、suコマンドによる予期しないユーザー切り替えをアラート対象にする。

Ciscoが提供する「Cisco Catalyst SD-WAN Hardening Guide」に従い、管理プレーン、コントロールプレーン、データプレーンの各層でセキュリティ設定を見直すことも有効だ。

IOCと脅威ハンティング

IOCと脅威ハンティング

Mandiantは今回の攻撃に関連するIOCをVirusTotalのGTI Collectionで公開している。ネットワークインジケーターに加え、フォレンジック調査で回収された悪意あるCSVペイロードの痕跡も含まれる。

実際のハンティングでは、以下のようなログパターンに注目する必要がある。

  • vmanage-adminアカウントに対する外部IPからのSSHログイン
  • adminアカウントのパスワードが短時間で変更され、元に戻されるイベント
  • /var/log/scripts.logにおけるvconfd_script_upload_tenant_list.shの不正実行
  • suコマンドによるtrootなど未知のアカウントへの切り替え

これらの兆候は、正規の管理操作と見分けがつきにくいため、普段の運用パターンとの差異を基準に判断することが求められる。疑わしいアクティビティを検出した場合は、Cisco TAC(Technical Assistance Center)に連絡し、詳細な調査を依頼するのが安全だ。

この記事のポイント

  • CVE-2026-20245はファイルアップロード機能の不備を突き、root権限を取得できる深刻な脆弱性
  • 攻撃者は不正ピアリング、パスワード操作、痕跡消去を組み合わせた高度な手口を使用
  • SD-WANのような集中管理型ネットワーク機器は、侵害された場合の影響範囲が広いため標的になりやすい
  • パッチ適用に加え、アカウント監視とログ分析による多層防御が不可欠
  • Mandiantが公開したIOCとTTPを活用し、プロアクティブな脅威ハンティングを実施すべき