CVE-2026-20191|Catalyst Center の緩和策と対処手順

  • URLをコピーしました!
目次

はじめに

2026 年 7 月 1 日、Cisco は Catalyst Center(旧 DNA Center)における任意ファイル読み取りの脆弱性 CVE-2026-20191 を公開しました。CVSS スコア 7.5(High)で、認証なしのリモート攻撃者が細工した HTTP リクエストを送信するだけで、制限されたコンテナ内のファイルを読み取れる可能性があります。

Catalyst Center はネットワーク全体の構成情報を集約する管理基盤であるため、ファイル読み取りにとどまる脆弱性であっても、影響の評価と対処の判断は慎重に行う必要があります。また、本アドバイザリには「回避策なし(No workarounds available)」と明記されており、即時のアップグレードが難しい環境では、リスクをどう抑えるかが実務上の課題になります。

この記事でわかること
  • CVE-2026-20191 の仕組みと CVSS 評価の読み方
  • 影響を受ける製品・バージョンと修正版の一覧(7 月 6 日追加の Catalyst Center Global Manager を含む)
  • 修正版へのアップグレードの流れと事前準備
  • 回避策が提供されない場合に検討できる緩和策

結論として、本脆弱性の恒久対策は Cisco が提供する修正版へのアップグレードのみです。ただし、即時適用が難しい場合でも、管理インターフェースの露出削減やアクセス制御の見直しといった緩和策により、攻撃を受ける可能性を下げることは検討できます。本記事では修正版の情報とあわせて、アップグレードまでの期間に実施を検討したい緩和策を実務目線でまとめます。

CVE-2026-20191 の概要

CVE-2026-20191 は、Cisco Catalyst Center に存在する任意ファイル読み取り(Arbitrary File Read)の脆弱性です。認証不要・リモートから悪用可能という条件がそろっており、管理基盤である Catalyst Center の性質を踏まえると、機密性への影響を重く見るべき脆弱性といえます。

参考: Cisco Security Advisory(cisco-sa-catc-file-read-wLH2vf8X)
“This vulnerability is due to insufficient validation of user-supplied input.”
(この脆弱性は、ユーザー入力に対する検証が不十分であることに起因します)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-catc-file-read-wLH2vf8X

脆弱性の仕組み(CWE-22: パストラバーサル)

本脆弱性は CWE-22(Improper Limitation of a Pathname to a Restricted Directory、いわゆるパストラバーサル)に分類されています。ユーザーが指定した入力値の検証が不十分なため、攻撃者は細工した HTTP リクエストを送信することで、本来アクセスが許可されていないパスのファイルを読み取れる可能性があります。

読み取りの対象は「制限されたコンテナ(restricted container)内のファイル」とされており、ホスト OS 全体のファイルが無制限に読み取られるものではありません。一方で、コンテナ内にどのような情報(設定ファイル、ログ、認証関連の情報など)が含まれるかは公開情報からは特定できないため、「読み取られて問題ない情報しかない」と楽観視するのではなく、機密情報が読み取られた可能性を考慮した対応を検討することを推奨します。この観点は後述の緩和策セクションで扱います。

なお、本脆弱性は Cisco TAC のサポートケース対応の過程で発見されたものであり、Cisco PSIRT は 2026 年 7 月 6 日時点で、本脆弱性の悪用や公開された攻撃コードを確認していません。ただし、アドバイザリ公開後に攻撃者側の分析が進むケースは一般的であるため、悪用未確認であることを対応延期の根拠とすることはおすすめしません。

CVSS 7.5 の評価内訳と読み方

本脆弱性の CVSS v3.1 ベーススコアは 7.5(High)です。ベクトル文字列は以下のとおりです。

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

各メトリクスを分解すると、この脆弱性の性質が読み取れます。

メトリクス意味
AV(攻撃元区分)N(ネットワーク)リモートから攻撃可能
AC(攻撃条件の複雑さ)L(低)特別な条件なしに攻撃が成立しやすい
PR(必要な特権レベル)N(不要)認証・権限が一切不要
UI(ユーザー関与)N(不要)管理者の操作を誘導する必要がない
C(機密性への影響)H(高)機密情報の読み取りにつながる
I(完全性への影響)N(なし)ファイルの改ざんは不可
A(可用性への影響)N(なし)サービス停止にはつながらない

ポイントは、完全性(I)と可用性(A)への影響がないためスコアが 7.5 にとどまっているものの、攻撃の成立条件(AV:N / AC:L / PR:N / UI:N)はクリティカル級の脆弱性と同等という点です。管理インターフェースがネットワーク的に到達可能でありさえすれば攻撃が成立し得るため、スコアの数字だけで優先度を下げる判断は避けたほうがよいと考えます。

また、機密性(C)が High と評価されている点は、Catalyst Center が保持する情報の性質と組み合わせて評価する必要があります。ネットワーク機器のインベントリや構成管理を担う製品である以上、読み取られた情報が後続の攻撃(内部ネットワークの偵察や横展開)の足がかりになるリスクを想定した優先度付けを推奨します。

影響を受ける製品と修正バージョン

本脆弱性は、Catalyst Center のハードウェアアプライアンス・仮想アプライアンス(AWS・Azure・VMware ESXi)、および Catalyst Center Global Manager(CCGM)に影響します。デバイスの設定内容に関係なく(regardless of device configuration)影響を受けるとされているため、「特定の機能を無効化しているから対象外」という判断はできません。

ハードウェア / 仮想アプライアンス(AWS・Azure・ESXi)の修正版

アドバイザリに記載された影響バージョンと修正版(First Fixed Release)は以下のとおりです。

Catalyst Center ハードウェアアプライアンス、AWS 版、Azure 版

リリース修正版
3.1 より前影響なし
3.13.1.6 GSMU200

Catalyst Center 仮想アプライアンス(VMware ESXi)

リリース修正版
2.3.72.3.7.11-VA GSMU100
3.13.1.6 GSMU200

注意したいのは、デプロイ形態によって影響バージョンの範囲が異なる点です。ハードウェアアプライアンスと AWS・Azure 版では 3.1 より前のリリースは影響を受けませんが、ESXi 版では 2.3.7 系も影響対象に含まれています。ESXi 版の 2.3.7 系を「古いバージョンだから今回の対象外だろう」と読み飛ばさないよう注意が必要です。

また、修正が単体のパッチではなく GSMU(Golden SMU)として提供されている点も確認しておきたいポイントです。適用対象の SMU が自環境のリリース番号と一致するか、Software Management 画面で確認することを推奨します。

Catalyst Center Global Manager(CCGM)の追加(v1.1 差分)

7 月 1 日の初版アドバイザリには CCGM の記載がなく、7 月 6 日のバージョン 1.1 で影響製品に追加されました。初版公開直後に確認して「Catalyst Center 本体のみが対象」と判断した場合は、再確認を推奨します。

リリース修正版
CCGM 1CCGM 1.4.1

参考: Cisco Security Advisory – Revision History
“Added Catalyst Center Global Manager.”
(Catalyst Center Global Manager を追加)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-catc-file-read-wLH2vf8X

CCGM は複数の Catalyst Center クラスターを束ねる上位の管理コンポーネントであり、保持する情報の範囲は単体の Catalyst Center より広くなります。CCGM を利用している環境では、Catalyst Center 本体と CCGM の両方について修正版の適用計画を立てることを推奨します。

自環境のバージョン確認方法

現在のバージョンは、Catalyst Center の GUI から「System > Software Management」画面で確認できます。この画面では現在インストールされているリリースに加えて、適用可能なアップデート(SMU を含む)も表示されるため、修正版の適用可否の判断にそのまま利用できます。

なお、悪用が確認されていない現時点でも、影響バージョンに該当するかどうかの棚卸しは早めに済ませておくことを推奨します。対象の特定が済んでいれば、今後 KEV カタログへの登録や悪用の観測といった状況変化があった際に、即座に適用判断へ移れます。

修正版へのアップグレード

事前準備(バックアップ・リリースノート確認)

Catalyst Center のアップグレードでは、事前準備の品質が作業全体の安全性を左右します。公式の Upgrade Guide では、アップグレード開始前のシステムアップデート、権限、ネットワーク接続性の確認、バックアップの取得が前提条件として整理されています。

参考: Cisco Catalyst Center Upgrade Guide
“Details the essential system updates, permissions, network connectivity checks, and backup procedures that must be completed before starting any Catalyst Center upgrade.”
(あらゆる Catalyst Center アップグレードの開始前に完了しておくべき、必須のシステムアップデート、権限、ネットワーク接続性確認、バックアップ手順を詳述)
https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/dna-center/upgrade/b_cisco_catalyst_center_upgrade_guide.html

実務観点では、以下の準備項目を推奨します。

STEP
バックアップの取得

Administrator Guide では、バックアップは低負荷の時間帯またはメンテナンス期間中に実施すること、および設定変更後にバックアップを取得することが推奨されています。バックアップ対象には Automation データ(データベース、クレデンシャル、ファイルシステム)と Assurance データがあり、リストア時には既存のデータベースがバックアップの内容で置き換えられ、処理中は Catalyst Center が利用できなくなります。アップグレード直前の時点でバックアップを取得し、リストアが必要になった場合の停止時間も含めて作業計画に織り込むことを推奨します。

なお、バックアップは同時に 1 つしか実行できないため、定期バックアップのスケジュールと手動バックアップが重複しないよう、実行タイミングの調整が必要です。

STEP
リリースノートの確認

修正版(3.1.6 GSMU200 / 2.3.7.11-VA GSMU100)のリリースノートで、既知の不具合(Open Caveats)と解決済みの不具合を確認します。セキュリティ修正を急ぐあまり、自環境で利用中の機能に影響する既知の不具合を見落とすと、脆弱性対応とは別の障害対応が発生する可能性があります。

STEP
クラスター状態と NTP の確認

公式のアップグレード手順では、アップグレード前の確認事項として、バックアップ等の重要な処理が実行中でないこと、NTP が設定されていること、3 ノード HA クラスターの場合は各ノードが正常で HA がアクティブであることが挙げられています。HA 構成の環境では、ノード間の状態不整合があるままアップグレードを開始しないよう、事前のヘルスチェックを推奨します。

STEP
作業時間とロールバック方針の確認

リストアを含むロールバックは、リストア中のサービス停止を伴います。メンテナンスウィンドウには、アップグレード本体の所要時間に加えて、問題発生時のリストア時間の余裕を持たせた計画を推奨します。

アップグレードの流れと注意点

事前準備が完了したら、Software Management 画面からアップグレードを実施します。大まかな流れは以下のとおりです。

  1. 「System > Software Management」画面で適用可能なアップデート(修正版の GSMU / SMU)を確認する
  2. メンテナンスウィンドウ内でアップデートをダウンロード・適用する
  3. 適用完了後、バージョン表記が修正版(3.1.6 GSMU200 / 2.3.7.11-VA GSMU100 / CCGM 1.4.1)になっていることを確認する

実務上の注意点は以下のとおりです。

HA クラスター構成での適用順序

3 ノード HA クラスターの場合、アップグレード前に各ノードの正常性と HA のアクティブ状態を確認します。ノード間で状態不整合があるまま適用を開始すると、アップグレード自体が失敗するリスクがあります。

アップグレードパスの確認

現行バージョンから修正版へ直接アップグレードできるかは、公式の Upgrade Guide に記載されたサポート対象パスに依存します。特に古いリリースを利用している場合、中間バージョンを経由する多段アップグレードが必要になる可能性があるため、作業時間の見積もりに影響します。

アップグレード中の管理機能停止

アップグレード中は Catalyst Center による監視・自動化機能が利用できなくなります。ネットワーク機器自体の通信には影響しませんが、Assurance によるアラート検知が止まる時間帯が発生するため、他の監視手段でカバーできるか事前に確認しておくことを推奨します。

なお、Cisco のセキュリティベストプラクティスでは、セキュリティパッチを含む重要なアップグレードは、パッチ公表後すみやかに適用することが推奨されています。

回避策なしの場合の緩和策

本脆弱性には回避策(設定変更等で脆弱性そのものを無効化する手段)が提供されていません。しかし、攻撃の成立には「攻撃者から Catalyst Center への HTTP リクエストが到達できること」が前提となるため、管理インターフェースへのネットワーク到達性を制限することが、実質的なリスク低減策として機能します。ここでは、即時アップグレードが難しい場合に検討したい 3 つの緩和策を整理します。

これらは Cisco が本脆弱性用の回避策として提示したものではなく、公式のセキュリティベストプラクティスに基づく一般的な堅牢化策である点に留意してください。恒久対策はあくまで修正版へのアップグレードです。

管理インターフェースの露出削減(ACL・管理セグメント分離)

最も効果的な緩和策は、Catalyst Center の管理インターフェースに到達できるネットワーク範囲を最小化することです。Cisco の Security Best Practices Guide では、ファイアウォールによる接続元制限が推奨されています。

参考: Cisco Catalyst Center Security Best Practices Guide
“Restrict access by allowing known IPs and blocking connections to unused ports.”
(既知の IP のみを許可し、未使用ポートへの接続を遮断することでアクセスを制限する)
https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/catalyst-center/articles/hardening_guide/m_cisco_catalyst_center_security_best_practices_guide.html

実務での確認ポイントは以下のとおりです。

インターネットからの到達性の確認

Catalyst Center の GUI(HTTPS)がインターネットや DMZ から到達可能になっていないか。本脆弱性は未認証で悪用可能なため、到達性の有無がリスクを大きく左右します。

接続元 IP の許可リスト化

ファイアウォールまたは経路上の ACL で、運用端末・踏み台サーバー等の既知の IP アドレスのみに GUI アクセスを限定する。

管理ネットワークとエンタープライズネットワークの分離

管理インターフェースと業務ネットワーク側インターフェースを分離し、利用者セグメントから管理プレーンへ直接到達できない設計とする。

また、Catalyst Center 自体にも、GUI へのアクセスを指定した IP アドレスに限定する IP アクセス制御機能があります。Administrator Guide(Release 3.2.x)では、デフォルトの「すべての IP を許可」から「選択した IP のみ許可」に変更できることが記載されています。設定には SUPER-ADMIN-ROLE 権限が必要で、Catalyst Center のサービスサブネットやクラスターインターフェースサブネットを許可リストに含める必要があります。ネットワーク側の制御と併用することで、多層的な到達性制限になります。(お使いのリリースでの本機能の提供状況は、該当バージョンの Administrator Guide での確認を推奨します)

不審な HTTP リクエストの検知(ログ監視・IPS/NDR)

到達性の制限と並行して、攻撃の試行を検知できる体制の確認を推奨します。本脆弱性は CWE-22(パストラバーサル)に分類されており、攻撃リクエストにはディレクトリトラバーサル特有のパターンが含まれる可能性があります。

IPS/IDS シグネチャの確認

利用中の IPS 製品でパストラバーサル系の汎用シグネチャが有効になっているか、また本 CVE 向けのシグネチャが提供されていないかをベンダー情報で確認する。

管理セグメントの通信監視

管理セグメントへの想定外の接続元からの HTTPS アクセスを検知できるか確認する。NDR 製品を導入している環境では、管理プレーン宛て通信の異常検知が有効に機能する領域です。検知手段の選定については、関連記事『NDR 製品の選び方|主要製品一覧と Gartner MQ 2026 の評価』も参照してください。

アクセスログの保全

万一の事後調査に備え、Catalyst Center 前段のファイアウォールやロードバランサーのアクセスログの保存期間を確認しておく。

読み取られた前提の対応(認証情報のローテーション検討)

本脆弱性は「制限されたコンテナ内のファイル読み取り」であり、どの範囲の情報が読み取り可能かは公開されていません。しかし、Catalyst Center のバックアップ対象に「データベース、クレデンシャル、ファイルシステム」が含まれることからも分かるとおり、Catalyst Center は管理対象機器のクレデンシャルを保持する製品です。管理インターフェースがインターネットや広い範囲のネットワークに露出していた期間がある場合、修正版適用後に、Catalyst Center に登録している機器クレデンシャル(CLI・SNMP 等)のローテーションを検討することを推奨します

これは「読み取られた事実が確認された場合の対応」ではなく、露出期間があった環境における予防的な対応です。読み取りの成否をログから確定できないケースが多いこと、および窃取されたクレデンシャルは内部ネットワークの偵察や横展開に転用され得ることを踏まえると、露出リスクの高かった環境ではローテーションのコストに見合う効果があると考えます。認証情報の窃取を起点とする攻撃の広がりについては、関連記事『ランサムウェアの攻撃対象と暗号化の仕組み|狙われるシステムと防御の勘所』で解説しています。

まとめ

CVE-2026-20191 は、Cisco Catalyst Center において未認証のリモート攻撃者が任意のファイルを読み取れる脆弱性です。回避策は提供されておらず、恒久対策は修正版へのアップグレードに限られます。即時適用が難しい場合は、管理インターフェースへの到達性制限が現実的な緩和策になります。

  • CVE-2026-20191 は未認証・リモートから悪用可能な任意ファイル読み取りの脆弱性
  • CVSS スコアは 7.5 だが攻撃成立条件はクリティカル級であり優先度を下げない
  • 修正版は 3.1.6 GSMU200・2.3.7.11-VA GSMU100・CCGM 1.4.1
  • ESXi 版は 2.3.7 系も影響対象、7 月 6 日の改訂で CCGM も追加
  • 回避策はなく、恒久対策は修正版へのアップグレード
  • 即時適用が難しい場合は管理インターフェースの到達性制限を推奨
  • 露出期間があった環境では機器クレデンシャルのローテーションを検討

以上、最後までお読みいただきありがとうございました。

よかったらシェアしてね!
  • URLをコピーしました!

この記事を書いた人

関西を拠点に活動する、現役インフラエンジニア。経験20年超。

大手通信キャリアにて、中〜大規模インフラ(ネットワーク・サーバ・クラウド・セキュリティ)の設計・構築およびプロジェクトマネジメントに従事。現場で直面した技術課題への対処や、最新の脆弱性情報への実務対応を、一次情報として発信しています。

保有資格
CCIE Lifetime Emeritus(取得から20年以上)/ VCAP-DCA / Azure Solutions Architect Expert

▶ 運営者プロフィール(詳細)

目次