Cisco SD-WAN管理ソフトに悪用中のCVE-2026-20245、最高権限奪取の恐れ
企業のネットワークをまとめて管理するCisco Catalyst SD-WAN Manager(旧vManage)に、すでに悪用が確認された欠陥(CVE-2026-20245)が見つかりました。攻撃が成立すると装置の最高権限を奪われ、配下の機器へ不正な設定変更を流し込まれる恐れがあります。Ciscoは修正版20.18.3.1を公開済みで回避策はなく、更新が必要です。影響範囲と今すべきことを整理します。
堀川 慎
Backend Engineer / AWS / Django / Go
企業のネットワークをまとめて管理するCisco Catalyst SD-WAN Manager(旧vManage)に、すでに悪用が確認された欠陥(CVE-2026-20245)が見つかりました。攻撃が成立すると装置の最高権限を奪われ、配下の機器へ不正な設定変更を流し込まれる恐れがあります。Ciscoは修正版20.18.3.1を公開済みで回避策はなく、更新が必要です。影響範囲と今すべきことを整理します。
企業のネットワーク全体を1か所からまとめて管理する司令塔のような製品に、すでに実際の攻撃に使われていることが確認された欠陥(情報セキュリティ上の弱点)が見つかりました。対象はCisco Catalyst SD-WAN Manager(旧称vManage)。各地の拠点に置かれた通信機器の設定を一括で配る「管理サーバ」で、企業や官公庁の広域ネットワークの中枢にあたります。今回の弱点は共通の管理番号CVE-2026-20245として整理されました。
Cisco自身が「2026年6月にこの欠陥が悪用されていることを把握した」と公表し、しかも攻撃によって配下の機器へ不正な設定変更が流し込まれた事例を観測したと認めています。米国土安全保障省のCISAも本件を「実際に攻撃されている脆弱性リスト(KEV)」に登録しました。危険度の指標は10点満点中7.8。攻撃には管理権限が必要という条件が付きますが、後述するとおり別の欠陥と組み合わせて権限を奪う攻撃の「最後の一段」として使われる点が問題です。
Ciscoは修正版20.18.3.1を公開済みで、回避策(設定変更などでしのぐ手段)はありません。つまり対処は更新一択です。この記事では、Cisco SD-WAN Managerとは何をする製品なのか、今回の欠陥で何が起きるのか、どのバージョンが対象で何を直せばいいのか、そしてなぜネットワークの司令塔が狙われるのかを、専門知識がなくてもわかるように整理します。
どのバージョンが対象で、どう更新すればいいのか
まず結論です。Cisco Catalyst SD-WAN Managerは、20.18.2.1およびそれ以前のすべてのバージョンが今回の欠陥(CVE-2026-20245)の対象で、修正版20.18.3.1で解消されます。Ciscoは設定変更などでしのぐ回避策は提供しておらず、対処は更新のみです。すでに悪用が観測されている以上、対象バージョンを使っている組織は優先的に更新を進める必要があります。
| 使っているバージョン | 状態 | いますべきこと |
|---|---|---|
| 20.18.3.1 以降 | 修正済み | 対処は不要 |
| 20.18.2.1 以前 | 影響あり (悪用観測済み) | 20.18.3.1へ 更新する |
| 回避策 | なし | 更新以外に 手段はない |
なお今回の欠陥は、攻撃の成立に「ネットワーク管理者(netadmin)」の権限が必要という条件が付きます。一見ハードルが高そうに見えますが、Ciscoは同時期に、ログインを突破して権限を得るための別の欠陥(CVE-2026-20182・CVE-2026-20127)も公表しています。攻撃者はそれらと組み合わせて権限を手に入れ、最後に今回のCVE-2026-20245でroot(システムの最高権限)まで一気に引き上げる、という流れを取れます。そのため、関連する更新もあわせて適用することが重要です。
Cisco SD-WAN Managerとは何をする製品で、何が起きるのか
Cisco Catalyst SD-WAN Manager(旧vManage)は、企業や官公庁が全国・世界中に持つ拠点のネットワークを、1つの画面からまとめて管理するための製品です。本社・支店・店舗・工場などに置かれた通信機器(ルーターなど)に対して、設定やセキュリティの方針を中央から一括で配る司令塔の役割を担います。役割の性質上、この管理サーバを押さえられると、その組織のネットワーク全体に手が届くことになります。
今回の欠陥は、この製品のコマンド入力部分(CLI)にあります。NVD(米国の脆弱性データベース)とCiscoの説明によれば、入力された内容のチェックが不十分なため、攻撃者が細工したファイルを送り込むと、その中身がシステムの命令として実行されてしまうたぐいの不具合(OSコマンドインジェクション)です。成立すると、攻撃者は管理サーバ上でroot(最高権限)として任意の命令を実行できます。分類上は権限昇格(手にした権限をさらに上へ引き上げる攻撃)で、危険度は7.8。最高権限を取られれば、設定の改ざんも、別の仕掛けの埋め込みも自由になります。
先に触れたとおり、攻撃にはネットワーク管理者の権限が必要です。ただし「正規の管理者しか悪用できない」と安心はできません。盗まれた管理者の認証情報が使われることもあれば、Ciscoが同時に公表した別の欠陥を踏み台に権限を得てから、最後にこの欠陥でrootへ到達することもできます。実際、すでにこの組み合わせに近い悪用が現実に観測されているのが今回の特徴です。
この司令塔を、どんな人が、何のために狙うのか
「社内のネットワーク機器の話で、自分には関係ない」と感じるかもしれません。けれど、SD-WAN Managerが束ねているのは、その組織で働く全員の通信です。メールも、業務システムへのアクセスも、拠点間のやり取りも、すべてこの司令塔が方針を配る機器の上を流れています。だからこそ攻撃者にとって、ここは1か所を取れば組織のネットワーク全体に号令をかけられる、破格に効率のいい標的に映ります。すでに悪用が観測されているという事実は、その価値を狙う者が現に動いていることを意味します。
狙ってくるのは抽象的な「ハッカー」ではありません。具体的には、通信網に長期間ひそんで情報を抜き取りたい国家支援のスパイ集団、社内に居座ってデータを暗号化し身代金を要求するランサムウェアの一味、企業ネットワークへの侵入経路を盗んで裏で売りさばく初期アクセス業者です。ネットワーク機器やその管理製品は、まさにこうした集団が近年もっとも力を入れて狙っている入り口です。彼らが欲しがるのは、拠点をまたいで流れる通信の中身と、ネットワークの動きを思いどおりに変える権限そのものです。今回のCVE-2026-20245で管理サーバのrootを握られた瞬間、組織の通信網を内側から操る指揮権が、そのまま相手の手に渡ります。
恐ろしいのは、被害が管理サーバ1台では終わらない点です。Cisco自身が観測したとおり、攻撃者はこの司令塔から配下のエッジ機器へ不正な設定変更を流し込めます。これは、通信を攻撃者のサーバへこっそり迂回させる、特定の拠点を切り離す、監視や防御の設定をひそかに緩める、といった操作が拠点をまたいで一斉にできることを意味します。中央を取られると、末端まで連鎖して汚染される——それがネットワークの司令塔を狙う攻撃の本質です。
そして、止まった通信と漏れた情報の後始末を背負うのは、その装置を運用する情報システム・ネットワーク部門と、その組織の利用者です。拠点間通信の停止や遅延、機密のやり取りの盗み見、不正な設定が全拠点に広がったことの調査と復旧、取引先や監督官庁への説明——危険度7.8という数字は技術的な目安にすぎず、この司令塔を奪われたときに組織が現実に失うものは、これだけ広く、深く尾を引きます。修正版が出ているいま当てられるかどうかが、踏まれる側になるかどうかの分かれ目です。
すでに悪用されている。観測された実害と、繰り返される構図
今回の件で重いのは、「理論上危ない」ではなく「すでに使われている」段階だという点です。Cisco PSIRT(同社のセキュリティ対応チーム)は2026年6月に悪用を把握し、限定的ながら、攻撃によってエッジ機器へ設定変更が流し込まれた事例を観測したと公表しています。欠陥を見つけて報告したのは、Google傘下のセキュリティ企業Mandiantの研究者(Chester Sng、Pete Boonyakarn、Logeswaran Nadarajanの各氏)です。標的型攻撃を数多く追ってきたMandiantが関わっている点も、本件が高度な攻撃者の関心を引いていることをうかがわせます。
ネットワーク機器とその管理製品が狙われるのは、今回に限った話ではありません。VPNや管理サーバのような「組織の境界」に置かれる装置は、ここ数年、攻撃者にとって最優先の標的であり続けています。本サイトでも、同じ境界製品であるIvanti Sentryの乗っ取り欠陥や、Cisco FMCの緊急CVEを取り上げてきました。中央の管理装置を1つ取れば全体に届く、という構図がある限り、この種の攻撃は繰り返されます。だからこそ、悪用が観測された欠陥は、出た更新を速やかに当てることが何より効きます。
公開から対応までの流れ
CVE-2026-20245が公表され、悪用の把握と修正版の提供に至るまでの流れを時系列で整理します。
← スワイプで移動
いまの危険度をどう見るか
✓ 確認済みの事実
? 現時点で未確認のこと
- ?攻撃者の正体と被害の規模 ― 誰が、どの範囲で悪用したかは公開時点で明らかにされていない。Ciscoは「限定的」と表現
- ?権限を得る経路の詳細 ― 盗まれた認証情報か、関連CVE(CVE-2026-20182/20127)の悪用か、実際の手口の内訳は公表されていない
冷静に整理すると、攻撃には管理者権限が必要で、被害は現時点で「限定的」とされています。一方で、すでに悪用が観測されていて・成功すれば最高権限を奪われ・配下の機器まで操作され得て・回避策がないという条件は、放置のリスクが極めて大きいことを意味します。しかも修正版はもう出ています。悪用が広まってから慌てるより、いま更新してしまうのが最も確実です。
いま何をすればいいのか
Cisco Catalyst SD-WAN Managerを運用している場合にやるべきことは、更新を中心に次のとおりです。
- 使っているバージョンを確認し、20.18.2.1以前なら対象と判断して、修正版20.18.3.1へできるだけ早く更新する
- 権限を得る経路として悪用され得る関連の欠陥(CVE-2026-20182・CVE-2026-20127)の修正もあわせて適用する
- 管理者(netadmin)アカウントの棚卸しを行い、不要な権限の整理と認証情報の見直し(パスワード変更・多要素認証)を進める
- すでに悪用が観測されているため、身に覚えのない設定変更がエッジ機器へ配られていないか、設定の履歴と変更記録を点検する
- 管理画面(管理サーバ)への接続元を必要な範囲に絞り、インターネットや不要なネットワークから直接届かないように制限する
特に、すでに悪用が観測されている以上、対象バージョンの放置は避けてください。今回は回避策が用意されていないため、「あとで」と先延ばしにするほど、権限を奪われ配下の機器まで操作されるリスクが積み上がります。侵入の痕跡が見つかった場合は、更新だけで終わらせず、配られた設定の確認と認証情報の入れ替えまでセットで行うのが安全です。
よくある質問
Q. 攻撃には管理者権限が必要なら、そこまで危なくないのでは。
油断はできません。管理者の認証情報が盗まれて使われることもあれば、Ciscoが同時に公表した別の欠陥(CVE-2026-20182・CVE-2026-20127)で権限を得てから、最後に今回の欠陥でrootへ到達することもできます。実際にこれに近い悪用がすでに観測されているため、「正規の管理者しか使えない」とは考えないでください。
Q. 回避策はありますか。
Ciscoは設定変更などでしのぐ回避策を提供していません。対処は修正版20.18.3.1への更新のみです。すでに悪用が観測されているため、対象バージョンを使っている場合は優先的に更新してください。
Q. SD-WAN Managerとは何ですか。
企業や官公庁が各地に持つ拠点のネットワークを、1つの画面からまとめて管理する製品です(旧称vManage)。拠点に置かれた通信機器へ設定を一括で配る「司令塔」にあたり、ここを奪われると組織のネットワーク全体に影響が及びます。
Q. 一般の個人利用者にも関係しますか。
直接の対象は、この製品を運用する企業・官公庁のネットワーク部門です。個人の端末に直接の影響はありません。ただし、利用しているサービスの提供元がこの装置を使っていた場合、通信の安定性や安全性に間接的な影響が及ぶことはあり得ます。
まとめ
CVE-2026-20245は、企業ネットワークの司令塔であるCisco Catalyst SD-WAN Manager(旧vManage)に見つかった、すでに悪用が確認されている欠陥です。コマンド入力部分の検証不備により、ネットワーク管理者の権限を持つ攻撃者がrootで命令を実行でき、Ciscoは配下のエッジ機器へ不正な設定変更が流し込まれた事例を観測したと公表しています。危険度は7.8、対象は20.18.2.1以前で、修正版20.18.3.1で解消されます。回避策はありません。
攻撃に管理者権限が要る点はハードルですが、盗まれた認証情報や、Ciscoが同時に公表した別の欠陥との組み合わせで、その条件は乗り越えられます。米CISAもKEVに登録しており、悪用はすでに現実のものです。Cisco SD-WAN Managerを運用している組織は、関連する更新も含めて速やかに20.18.3.1へ上げ、不審な設定変更や侵入の痕跡がないかをあわせて点検してください。組織の通信網の指揮権を預けている装置だからこそ、後回しにするには重すぎる一件でございます。