Cisco SD-WAN 脆弱性｜CISA ED 26-03 のハント手順と対処

はじめに

2026 年 5 月 14 日、Cisco は Catalyst SD-WAN Controller / Manager の認証バイパス脆弱性 CVE-2026-20182（CVSS 10.0 / Critical） を公開しました。あわせて米国 CISA は緊急指令 ED 26-03 を発出し、連邦民間行政機関に対して侵害有無の確認（Hunt）と恒久対策（Hardening）の即時実施を指示しています。本脆弱性は事前認証不要・リモートからの管理権限奪取が成立し得る内容で、Cisco PSIRT は限定的な実環境での悪用を確認したと公表しています。

CISA の今回の指令は連邦機関を対象としたものですが、CISA 自身が「すべての組織が本ガイダンスを活用してネットワークのリスク表面を削減することを強く推奨」と明記しており、Cisco Catalyst SD-WAN を運用する民間企業にとっても直ちに対応すべき内容です。さらに、関連する国際パートナーの調査によれば、本系統の脆弱性を悪用した攻撃活動は2023 年以降に開始されていた可能性が指摘されており、過去のログまで遡った侵害確認が運用上の重要ポイントとなります。

本記事では、CISA ED 26-03 の位置付け、CVE-2026-20182 を中心とした脆弱性群の技術的内容、侵害有無を確認する Hunt 手順、request admin-tech による事前情報保全、そして CISA / Cisco が推奨する Hardening Guidance までを実務目線で整理します。

CISA ED 26-03 と Cisco SD-WAN 脆弱性の概要

CISA 緊急指令 ED 26-03 は、Cisco Catalyst SD-WAN を対象とした一連の脆弱性に対し、米国 FCEB（連邦民間行政機関）に侵害有無の確認・更新・必要時の再構築を義務付けるものです。Cisco 側は同時並行で、CVE-2026-20182（CVSS 10.0）をはじめとする複数の脆弱性に対する修正リリースとセキュリティアドバイザリを公開しています。

CISA 緊急指令 ED 26-03 の位置付け

CISA の指令文書では、本件の発出背景が以下のように説明されています。

参考: CISA – Supplemental Direction ED 26-03: Hunt and Hardening Guidance for Cisco SD-WAN Systems
“Exploitation activities linked to CVE-2026-20127, CVE-2022-20775, CVE-2026-20133, CVE-2026-20182 and other specified vulnerabilities pose an unacceptable risk, necessitating immediate action to mitigate privilege escalation, root access, and persistent threats to SD-WAN networks.”
（CVE-2026-20127、CVE-2022-20775、CVE-2026-20133、CVE-2026-20182 およびその他特定された脆弱性に関連する悪用活動は許容できないリスクをもたらしており、SD-WAN ネットワークに対する特権昇格、root アクセス、持続的脅威を緩和するため即時の対応が必要です。）
https://www.cisa.gov/news-events/directives/supplemental-direction-ed-26-03-hunt-and-hardening-guidance-cisco-sd-wan-systems

緊急指令（Emergency Directive、ED）は CISA が連邦機関に対して発する強制力のある指示文書で、通常のアドバイザリや警告より上位の緊急性を持ちます。ED 26-03 は次の 3 点を求めています。

1. 侵害有無のハンティング（Hunt for evidence of compromise）
2. root 侵害が確認された場合の OVA / QCOW2 イメージからのコンポーネント再構築（vManage / vSmart / vBond の再デプロイ + edge の新インフラへの移行 + 新規管理者アカウントの作成）
3. Hardening Guidance の実装

民間企業にとっても、CISA が推奨する Hunt 手順と Hardening Guidance は実務上の標準的なベースラインとして利用できます。

CVE-2026-20182 の技術的内容（CVSS 10.0 認証バイパス）

本件の中核となる脆弱性が CVE-2026-20182 です。Cisco PSIRT のアドバイザリでは以下のように説明されています。

参考: Cisco Security Advisory cisco-sa-sdwan-rpa2-v69WY2SW
“A vulnerability in the peering authentication in Cisco Catalyst SD-WAN Controller, formerly SD-WAN vSmart, and Cisco Catalyst SD-WAN Manager, formerly SD-WAN vManage, could allow an unauthenticated, remote attacker to bypass authentication and obtain administrative privileges on an affected system.”
（Cisco Catalyst SD-WAN Controller（旧 vSmart）および Cisco Catalyst SD-WAN Manager（旧 vManage）の peering 認証に存在する脆弱性により、未認証のリモート攻撃者が認証をバイパスし、影響を受けるシステム上で管理者権限を取得し得る可能性があります。）
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW

CVE-2026-20182 の基本情報を整理すると次の通りです。

CVSS 10.0 という最高位スコアは、認証不要・攻撃難易度低・スコープ変化を伴う CIA すべて HIGH 影響という条件が揃った場合にのみ与えられる極めて深刻な評価です。Cisco 自身が「ワークアラウンドなし」と明示しており、修正リリースへのアップグレード以外に根本的な対処手段が存在しない点が特徴となります。

本脆弱性の根本原因は、vbond_proc_challenge_ack() 関数に存在するロジックの欠陥です。control connection handshake において、device type 2（vHub）として自身を偽るピアに対して証明書検証コードが存在しないため、有効な認証情報も CA 署名証明書も不要で認証フラグが無条件に true に設定されてしまいます。Rapid7 の研究者が示した exploit チェーンは「DTLS handshake（任意の自己署名証明書）→ CHALLENGE 受信 → device type 2 で CHALLENGE_ACK 送信 → Hello 送信 → peer が UP 状態（完全信頼コントロールプレーンノード）として遷移」という、非常に単純化されたものです。

関連 CVE 群

CISA ED 26-03 では、CVE-2026-20182 単独ではなく複数の関連 CVE を一括して対処対象としています。

特に注目すべきは、国際パートナーと CISA のフォレンジック分析により、攻撃者が過去に未知の脆弱性（CVE-2026-20127）を悪用していたことが確認された点です。

参考: CISA – Supplemental Direction ED 26-03: Background
“Based on international partner and CISA forensic analysis and reporting, CISA is aware of ongoing threat actor exploitation of a previously unknown vulnerability in Cisco SD-WAN systems. At the time of exploitation, this vulnerability was a zero-day.”
（国際パートナーおよび CISA のフォレンジック分析と報告に基づき、CISA は Cisco SD-WAN システムにおける従来未知の脆弱性に対する継続的な攻撃者の悪用を認識しています。悪用された時点で、本脆弱性はゼロデイでした。）
https://www.cisa.gov/news-events/directives/supplemental-direction-ed-26-03-hunt-and-hardening-guidance-cisco-sd-wan-systems

攻撃シナリオ: rogue device による peering と横展開

本件の特徴的な攻撃手法は、攻撃者が制御する「rogue device」が正規の SD-WAN コンポーネントとして偽装的に peering する点にあります。攻撃の流れは次のとおりです。

1. 認証バイパス: 未認証の攻撃者が脆弱性を悪用し、SD-WAN Manager / Controller への管理権限を取得
2. rogue device の peering: 攻撃者制御下のデバイスが正当に見える SD-WAN コンポーネントとして fabric に組み込まれる
3. 管理・制御プレーンでの不正操作: peering 済みの rogue device が特権昇格・持続化を実施
4. 横展開: SD-WAN 環境外への lateral movement が観測される
5. 痕跡の隠蔽: ログクリア、コマンド履歴削除、ログ転送停止などの防御回避手法を一貫して適用

参考: CISA – Supplemental Direction ED 26-03: Background
“The vulnerability allows an unauthenticated threat actor to gain access and administrative privileges to an organization’s SD-WAN network management plane or control plane. The threat actor-controlled rogue device appears as a new, temporary, and legitimate SD-WAN component.”
（本脆弱性により、未認証の脅威アクターが組織の SD-WAN 管理プレーンまたは制御プレーンへのアクセスと管理権限を取得し得ます。脅威アクターが制御する rogue device は、新規かつ一時的で正当な SD-WAN コンポーネントとして現れます。）
https://www.cisa.gov/news-events/directives/supplemental-direction-ed-26-03-hunt-and-hardening-guidance-cisco-sd-wan-systems

正規の peering プロトコル（DTLS による control connection）を使って fabric に組み込まれるため、表面的なログ上は「新しい SD-WAN コンポーネントが追加された」というイベントとしか見えません。正規の管理活動と区別するには、peering イベントの 1 件 1 件に対する手動の検証（タイムスタンプ、source IP、device type）が必要となります。

SD-WAN は本来、複数拠点・複数 WAN を束ねて柔軟なトラフィック制御を実現する技術カテゴリです。本件は Cisco Catalyst SD-WAN 固有の脆弱性ですが、ベンダー固有のセキュリティアドバイザリの定期的な追跡と、管理プレーンへのアクセス制限という設計観点は他社 SD-WAN 製品でも同様に重要です。SD-WAN を業務トラフィック設計に組み込む際の運用観点については、関連記事『FortiGate SD-WAN で M365 をローカルブレイクアウトする手順』も参考になります。

影響を受ける Cisco Catalyst SD-WAN のバージョン

CVE-2026-20182 は、Cisco Catalyst SD-WAN Controller（旧 vSmart）と Cisco Catalyst SD-WAN Manager（旧 vManage）の両方に影響します。デバイス構成や展開モデルに依存せず影響を受けるため、Cisco Catalyst SD-WAN を運用するほぼすべての環境が対象となります。

対象コンポーネントと展開モデル

参考: Cisco Security Advisory cisco-sa-sdwan-rpa2-v69WY2SW – Affected Products
“This vulnerability affects Cisco Catalyst SD-WAN Controller and Cisco Catalyst SD-WAN Manager, regardless of device configuration. This vulnerability affects all deployment types, including: On-Prem Deployment, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed), Cisco SD-WAN for Government (FedRAMP).”
（本脆弱性は、デバイス構成にかかわらず Cisco Catalyst SD-WAN Controller および Cisco Catalyst SD-WAN Manager に影響します。On-Prem 展開、Cisco SD-WAN Cloud-Pro、Cisco SD-WAN Cloud (Cisco Managed)、Cisco SD-WAN for Government (FedRAMP) を含むすべての展開タイプに影響します。）
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW

影響リリースと修正版

Cloud (Cisco Managed) 環境については Release 20.15.506 で Cisco 側により修正適用済みであり、ユーザー側のアクションは不要とされています。

参考: Cisco Security Advisory cisco-sa-sdwan-rpa2-v69WY2SW – Fixed Software
“Cisco has also addressed this vulnerability in Cisco SD-WAN Cloud (Cisco Managed) Release 20.15.506, which is cloud based. No user action is required.”
（Cisco は Cisco SD-WAN Cloud (Cisco Managed) Release 20.15.506 でも本脆弱性に対処済みで、これはクラウドベースです。ユーザーアクションは不要です。）
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW

複数の End of Software Maintenance 系列（20.10 / 20.11 / 20.13 / 20.14 / 20.16）に該当する環境は、まずサポート対象の Extended Maintenance Release（20.12 / 20.15 / 20.18 / 26.1 系）へのアップグレードを計画する必要があります。

侵害有無を確認する Hunt 手順

CISA ED 26-03 は「悪意ある活動はおそらく 2023 年に始まっており、組織はそれに応じてハント範囲を設定すべき」と明記しています。

参考: CISA – Supplemental Direction ED 26-03: Hunt Guidance
“According to recent reporting, malicious activity likely began in 2023, and organizations should scope hunting efforts accordingly.”
（最近の報告によれば、悪意ある活動はおそらく 2023 年に開始されており、組織はハント活動の範囲をそれに応じて設定すべきです。）
https://www.cisa.gov/news-events/directives/supplemental-direction-ed-26-03-hunt-and-hardening-guidance-cisco-sd-wan-systems

以下では CISA Hunt Guidance の主要 6 項目（A〜F）と、Cisco PSIRT が推奨する show control connections detail による検査を整理します。

A. バージョンダウングレードと予期しない reboot の確認

攻撃者 UAT-8616 は CVE-2026-20127 で侵入後、いったん古いバージョンへダウングレードして CVE-2022-20775 を露出させ root 権限を取得した後、元バージョンへ戻すという痕跡隠蔽手法を使っていました。

承認済みのアップグレード計画と一致しないバージョン変更が確認された場合、侵害の重要な兆候として扱う必要があります。

B. アプリケーションリバージョンの確認

バージョンダウングレードから 15 分以内のアップグレード確認タイマーのタイムアウトを侵害兆候として確認します。

/var/log/tmplog/vdebug で次のメッセージを検索します。

• Starting upgrade confirmation timer
• Waiting for upgrade confirmation from user
• Software upgrade not confirmed

通常の運用アップグレードでは管理者が確認操作を行うため、「Software upgrade not confirmed」によるリバージョンはほぼ発生しません。この痕跡が残っている場合、自動化されたダウングレード活動の可能性を疑う必要があります。

C. Rogue peering の検出

本件で最も重要な Hunt 観点が、rogue device による peering の検出です。CISA Hunt Guidance では 4 つの手法の併用を推奨しています。

手法 1: 異常な peer type の検出

/var/log/tmplog/vdebug 内の control-connection-state-change イベントで以下を確認します。

peer-type:vhub を持つイベント:

本来のアーキテクチャに vhub という peer type は存在しません。本脆弱性の悪用では攻撃者が device type 2（vHub）を称することで認証バイパスが成立するため、peer-type:vhub の出現は極めて強い侵害指標となります

低頻度の outlier となる peer-type 値:

特に new-state:up かつ uptime '0:00:00:00' のもの

同じ分内に remote-color 異常、dump_pkt、または malformed hello が併発しているか

手法 2: outlier 検出（peer-system-ip / public-ip の頻度分析）

peer-type と peer-system-ip を集約し、低頻度のクラスタを抽出します。peer-type:vmanage を持つ peer の public-ip が自社で把握していない外部 IP の場合は、特に深刻な侵害兆候です。

手法 3: remote-color 異常の検出

/var/volatile/log/vconfd.10 と /var/log/tmplog/vdebug.5 で、remote-color が (null) または {28 0} となっている control-connection イベントを検索します。

手法 4: vManage UI での全 vEdge 検証

vManage UI にアクセスし、SD-WAN instance に登録されているすべての vEdge を個別に正規デバイスかどうかを検証します。

show control connections detail による侵害判定（challenge-ack 0）

Cisco PSIRT が本件で最も信頼性の高い侵害判定指標として提示しているのが、show control connections detail 出力の challenge-ack カウンタが Tx / Rx ともに 0 のパターンです。

Tx Statistics-
--------------
    challenge               1
    challenge-response      0
    challenge-ack           0  <-- challenge-ack 0

Rx Statistics-
--------------
    challenge               0
    challenge-response      1
    challenge-ack           0  <-- challenge-ack 0

出力ファイルから候補を一括抽出するには次のコマンドが有効です。

grep -A20 'SYSTEM-IP' vdaemon.txt | grep -B5 'challenge-ack 0'

参考: Cisco Support – Remediate Catalyst SD-WAN Security Advisory – May 2026
“To quickly surface candidate records from a saved vdaemon.txt (or any file containing the show control connections detail output), run: grep -A20 ‘SYSTEM-IP’ vdaemon.txt | grep -B5 ‘challenge-ack 0′”
https://www.cisco.com/c/en/us/support/docs/routers/sd-wan/225842-remediate-catalyst-sd-wan-security.html

自社の正規 SD-WAN 制御プレーンとして把握できない peer が検出された場合、Cisco TAC に Severity 3・タイトルに CVE-2026-20182 を明記してケースを起票することが案内されています。

D. SSH の不正利用の確認

攻撃者は侵害後、authorized_keys への SSH 公開鍵注入による永続化を行うことが Cisco Talos によって確認されています。

vmanage-admin の authorized_keys 確認

$ cat /home/vmanage-admin/.ssh/authorized_keys

管理者が登録した記憶のない SSH 公開鍵が含まれていないかを確認します。あわせて /var/log/auth.log で次のパターンを検索します。

参考: Cisco Security Advisory cisco-sa-sdwan-rpa2-v69WY2SW – Indicators of Compromise
“Customers are encouraged to audit the auth.log file, located at /var/log/auth.log, for entries that are related to Accepted publickey for vmanage-admin from unknown or unauthorized IP addresses”
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW

auth.log 内の Accepted publickey for vmanage-admin from <IP> エントリで、<IP> が vManage Web UI の Devices > System IP 列に登録された system IP と一致するかを照合します。一致しない外部 IP からの公開鍵認証成功は侵害の強い兆候です。

/home/* 全アカウントの確認

$ ls -la /home/

承認外のアカウントが制御プレーンと対話していないかを検証します。

E. root SSH / root ログイン異常の検出

Cisco Catalyst SD-WAN では、root ユーザーログインは本来ロックダウンされており対話的に使用されることはありません。root ログインの痕跡自体が侵害指標となります。

utmp / wtmp / btmp の確認コマンド例は以下の通りです。

$ last -f /var/run/utmp
$ last -f /var/log/wtmp
$ sudo last -f /var/log/btmp

root account 侵害が確認された場合は、OVA / QCOW2 イメージからの vManage / vSmart / vBond の完全再構築が必要となります。

F. ログクリアリングの痕跡確認

攻撃者の一貫した防御回避手法として、ログクリアリングが観測されています。「不自然にきれいに消されている」こと自体が侵害指標となります。

ログイン履歴のクリアリング確認

$ ls -la /var/log/lastlog /var/log/wtmp

ファイルサイズが 0 バイトとなっている場合、cat /dev/null > wtmp 等によるクリアの可能性があります。

シェル履歴のクリアリング確認

$ for user in /home/*; do ls -la $user/.bash_history; done

各ユーザーの .bash_history が 0 / 1 / 2 バイトとなっている場合、履歴クリアリングの兆候となります。.bash_history のタイムスタンプと既知の不審活動の時間帯との照合も有効です。

アップグレードと admin-tech による事前情報保全

CVE-2026-20182 はワークアラウンドが存在しないため、修正済みリリースへのアップグレードが唯一の根本的な対処手段となります。一方で、アップグレード作業によって侵害痕跡が消失する可能性があるため、Cisco は「アップグレード前に必ず request admin-tech を実行」することを強く推奨しています。

アップグレード前の request admin-tech 実施

参考: Cisco Security Advisory cisco-sa-sdwan-rpa2-v69WY2SW
“Important: To preserve possible indicators of compromise, customers should issue the request admin-tech command from each of the control components in the SD-WAN deployment before upgrading. After the admin-tech file has been collected, software should be upgraded at the earliest opportunity.”
（重要: 侵害指標を保全するため、顧客はアップグレード前に SD-WAN 展開のすべての制御コンポーネントから request admin-tech コマンドを実行することが推奨されます。admin-tech ファイル収集後、できる限り早期にソフトウェアをアップグレードしてください。）
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW

生成ファイルは /home/<実行ユーザー>/<日時>-admin-tech.tar.gz に保存されます。実行には netadmin 権限が必要です。

実施時の留意点

参考: Cisco Support – Remediate Catalyst SD-WAN Security Advisory – May 2026
“Collect Admin-Techs – Run admin-tech on all control components (vSmart, vManage, vBond) prior to the upgrade to ensure no diagnostic data is lost. Select Log and Tech options. Core is not required. Caution: vSmart admin-techs must not be run simultaneously — run them one at a time.”
https://www.cisco.com/c/en/us/support/docs/routers/sd-wan/225842-remediate-catalyst-sd-wan-security.html

• vSmart admin-tech は同時実行不可: 複数 vSmart がある場合、1 台ずつ実行
• vManage / vBond は順序任意
• オプション選択: Log と Tech を選択・Core は不要（高速化のため）

TAC ケース起票の流れ

1. admin-tech 収集（全制御コンポーネントで完了）
2. 修正版へアップグレード（TAC スキャン結果を待たずに先行実施）
3. TAC ケース起票（Severity 3・タイトルに CVE-2026-20182 を明記）
4. admin-tech を TAC に提供しスキャンを依頼

「TAC スキャン結果を待たずに先にアップグレードする」という順序は、脆弱性を残したまま侵害調査を進めるリスクの方が上回るとの Cisco の判断に基づいています。

root account 侵害が確認された場合の OVA / QCOW2 からの再構築

参考: CISA – Supplemental Direction ED 26-03
“Organizations that identify root account compromises must deploy fresh vManage, vSmart, and vBond from patched OVA or QCOW2 images, migrating edges to the new infrastructure, with new administrator accounts with unique credentials.”
https://www.cisa.gov/news-events/directives/supplemental-direction-ed-26-03-hunt-and-hardening-guidance-cisco-sd-wan-systems

再構築の概要は次の流れとなります。

1. パッチ済み OVA / QCOW2 イメージのダウンロード: Cisco Software Download ページから修正版イメージを取得
2. ESXi / クラウドプラットフォーム上での新規デプロイ: 必要な CPU・RAM・ディスクを割り当て
3. 証明書の再発行・再認証: 新規コントローラ群に新しい証明書を発行し fabric に再認証
4. vEdge の新インフラへの移行
5. 新規管理者アカウントの作成: 一意のクレデンシャルで再発行
6. 旧コントローラの invalidate / delete: Configuration > Certificates > Controllers から実施

再構築は工数の大きい作業ですが、root 権限侵害後の痕跡は通常のアップグレードでは消去できない可能性が高いため、CISA は同等の対処を求めています。

Hardening Guidance: CISA / Cisco 推奨の恒久対策

CISA ED 26-03 は、修正版適用と並行して Cisco Catalyst SD-WAN Hardening Guide に基づく恒久的なセキュリティ強化を要求しています。

参考: CISA – Supplemental Direction ED 26-03: Hardening Guidance
“Organizations should apply the patches released by Cisco and consult the instructions in CISA’s Emergency Directive and the Cisco Catalyst SD-WAN Hardening Guide.”
https://www.cisa.gov/news-events/directives/supplemental-direction-ed-26-03-hunt-and-hardening-guidance-cisco-sd-wan-systems

A. セッションタイムアウトの設定

B. Control / Data Plane Security

Control Plane Security

SD-WAN Manager との接続に DTLS データ暗号化を構成し、データ認証・暗号化には SNMPv3 を使用。旧バージョンの SNMP（v1 / v2c）は使用しない。

Data Plane Security

SD-WAN Controller とエッジ装置間のセキュアな通信のため pairwise key を作成・配布することが推奨されます。デフォルトの「traditional key exchange」よりも鍵流出時の影響範囲が局所化されるため、より安全とされます。

C. SD-WAN Manager Access: Self-Signed Certificate の置換

SD-WAN Manager の Web UI のデフォルト自己署名証明書を組織の Enterprise Root CA（または信頼できる Public CA）が発行した証明書で置き換えることが推奨されます。自己署名証明書のまま運用した場合、管理者が証明書警告に慣れてしまい中間者攻撃時の警告も無視されやすくなるリスクがあります。

D. Logging: 外部 SIEM への送信と高リスクイベントのアラート

本件の攻撃者はログクリアリングを一貫した防御回避手法として実施していました。ローカルログのみへの依存を避け、SD-WAN システムのログを外部 SIEM にリアルタイムで転送することが強く推奨されます。

参考: CISA – Supplemental Direction ED 26-03: Hardening Guidance
“Organizations should store logs collected from SD-WAN systems externally (not on the SD-WAN device), as threat actors could modify logs stored on the device.”
https://www.cisa.gov/news-events/directives/supplemental-direction-ed-26-03-hunt-and-hardening-guidance-cisco-sd-wan-systems

SIEM 側で設定すべきアラートは次の通りです。

E. ネットワーク境界の制御

allowlisting によるアクセス制限

SD-WAN の前段にファイアウォールを配置し、既知の vEdge / vSmart / vBond / vManage IP のみが接続できるよう allowlisting を設定します。vEdge には静的 IP を割り当てることが前提となります。

Management Interface（VPN 512）の分離

参考: CISA – Supplemental Direction ED 26-03: Hardening Guidance
“Organizations should deploy their VPN 512 management interfaces into an isolated internal management VLAN.”
https://www.cisa.gov/news-events/directives/supplemental-direction-ed-26-03-hunt-and-hardening-guidance-cisco-sd-wan-systems

VPN 512 管理 IF を隔離された内部管理 VLAN にデプロイすることで、管理 IF が公開インターネットに露出せず、管理者は事前に内部ネットワークへ認証する必要が生じます。

Hardening Guidance の実装優先度

1. 境界制御（E）の即時適用: 認証バイパス系脆弱性への即効性が最も高い
2. 外部 SIEM 転送とアラート（D）の構築: ログ改ざん耐性を高め Hunt 手順の再現性を担保
3. Self-Signed Certificate の置換（C）: PKI 統合として長期的なポスチャ強化に必要
4. Control / Data Plane Security（B）の見直し: pairwise key への移行を計画的に実施
5. セッションタイムアウト（A）の調整: 運用効率との兼ね合いで段階的に短縮

まとめ

CVE-2026-20182（CVSS 10.0）は、Cisco Catalyst SD-WAN Controller / Manager の peering 認証に存在する認証バイパス脆弱性で、未認証のリモート攻撃者が SD-WAN ファブリック全体の管理権限を取得し得る内容です。CISA は緊急指令 ED 26-03 を発出し、Hunt と Hardening の即時実施を求めています。本記事の要点を整理します。

• CVSS 10.0・ワークアラウンドなし: 修正済みリリース（20.9.9.1 / 20.12.5.4 以降 / 20.15.4.4 以降 / 20.18.2.2 / 26.1.1.1 等）へのアップグレードが唯一の根本対処
• 攻撃は 2023 年頃から進行中: UAT-8616 が CVE-2026-20127 をゼロデイとして悪用。ダウングレード → root 権限奪取 → 元バージョン復元という痕跡隠蔽手法が確認されており、過去のログまで遡った Hunt が必要
• peer-type:vhub の出現と challenge-ack 0 が最重要侵害指標: show control connections detail で確認し、候補抽出には grep -A20 'SYSTEM-IP' vdaemon.txt | grep -B5 'challenge-ack 0' が有効
• アップグレード前に必ず request admin-tech を全制御コンポーネントで実施。vSmart は同時実行不可で 1 台ずつ。TAC ケースは Severity 3・タイトルに CVE-2026-20182 を明記
• root 侵害が確認された場合は OVA / QCOW2 イメージからの完全再構築が必要。単純なアップグレードでは対処不足となる
• Hardening Guidance の優先実装は「SD-WAN 前段での allowlisting と VPN 512 管理 IF 分離」「ログの外部 SIEM 転送と異常 peering / root 認証成功のアラート設定」の 2 点が最優先
• Cloud (Cisco Managed) 環境は Release 20.15.506 で修正適用済みでユーザーアクション不要。ただし自社の展開モデルを正確に把握した上で判断することが推奨される

以上、最後までお読みいただきありがとうございました。