CVE-2026-20245の悪用にはnetadmin権限が必要ですが、それは安全ではないですか？

「認証済みのnetadmin権限が必要」という条件は一見ハードルが高く見えますが、過信は禁物です。内部脅威（悪意ある従業員・委託業者）が本脆弱性を悪用して権限昇格するケースや、フィッシング・クレデンシャルスタッフィングでnetadmin資格情報を先に奪取したのちに本脆弱性でroot昇格する二段階攻撃が現実的です。また多要素認証が設定されていないSD-WAN管理インタフェースはブルートフォース攻撃のリスクもあります。「netadmin権限が必要＝安全」ではなく、netadmin権限自体の保護を徹底することが重要です。

パッチが出るまでどのような緩和策がありますか？

Ciscoからの公式ワークアラウンドはありませんが、以下の対策でリスクを下げることができます。①netadmin権限アカウントに多要素認証（MFA）を必須化する、②SD-WAN ManagerのWeb UI・CLIへのアクセスを管理専用ネットワーク・踏み台サーバーからのみに制限する、③インターネットから直接アクセス可能な状態になっていないかShodanで確認する、④netadmin権限アカウントのログイン・操作を監査ログで監視する、⑤パッチリリース情報をCiscoのセキュリティアドバイザリページで定期確認する、の5点が優先されます。

SD-WAN Managerが侵害されると具体的に何が起きますか？

SD-WAN Managerは管理下の全エッジルーターに設定をプッシュできる立場にあります。侵害された場合、攻撃者は（1）拠点間通信を攻撃者管理サーバーにリダイレクトする中間者攻撃、（2）セキュリティフィルターの無効化、（3）VPN設定変更によるバックドア接続の追加、（4）全エッジルーターへのマルウェア入りファームウェア配布、といった操作が可能です。Ciscoも実際に「設定変更がエッジデバイスにプッシュされた」という悪用を確認しており、理論的な脅威ではなく現実に起きている被害です。

CVSS 7.8（High）ですが、Critical（9.0以上）でないのはなぜですか？

CVSSスコアは攻撃条件を加味して計算されます。CVE-2026-20245は「認証済みローカルアクセス」が必要（未認証リモートではない）という条件が点数を下げています。しかし数値の低さで危険度を判断するのは危険です。SD-WAN Managerという高特権システムでのroot実行は実質的な影響が極めて大きく、パッチが存在しない状態で実際に悪用されているという事実が重要です。CVSSスコアはあくまで技術的な攻撃難度の指標であり、ビジネスインパクトや悪用状況を加味した総合的なリスク評価が不可欠です。

Cisco SD-WAN Manager ゼロデイ CVE-2026-20245 解説｜パッチなし悪用中・全デプロイタイプに影響

Q: Cisco SD-WAN Manager（vManage）とは何ですか？

Cisco SD-WAN Manager（旧名SD-WAN vManage）は、企業のSD-WAN（ソフトウェア定義WAN）インフラ全体を一元管理するコントロールプレーンです。本社・拠点間のWAN接続ポリシー・ルーティング・セキュリティポリシー・ファームウェアアップデートなど、すべてのエッジルーターを中央から制御します。このコントローラーが侵害されると、管理下の全エッジデバイスに悪意ある設定をプッシュされるため、WAN基盤全体が攻撃者の手に渡るに等しい高特権システムです。

パッチが存在しないまま悪用が確認されている脆弱性ほど、対応に頭を悩ませるものはない。CVE-2026-20245はCisco Catalyst SD-WAN Manager（旧SD-WAN vManage）のCLIに存在するコマンドインジェクション脆弱性で、2026年6月時点でCiscoからの修正プログラムはリリースされていない。CVSS 7.8（High）と評価されるこの脆弱性を悪用すると、netadmin権限を持つ認証済み攻撃者がroot権限で任意コマンドを実行できる。Google Mandiantのセキュリティ研究者が発見・報告し、Ciscoも限定的な実悪用を確認している。SD-WAN基盤を侵害されれば、配下の全エッジデバイスに設定変更が一斉に展開されるリスクがある。

概要

CVE ID：CVE-2026-20245
影響製品：Cisco Catalyst SD-WAN Manager（旧名：SD-WAN vManage）
CVSS スコア：7.8（High）
攻撃条件：認証済み・ローカルアクセス・netadmin権限
影響：root権限での任意コマンド実行
パッチ状況：2026年6月時点で未リリース（ワークアラウンドも非公式）
悪用状況：Ciscoが限定的な実悪用を確認済み
発見者：Google Mandiant（Chester Sng、Pete Boonyakarn、Logeswaran Nadarajan）
影響デプロイ：オンプレミス・Cloud-Pro・Cloud（Cisco管理）・Government（FedRAMP）

何が起きたのか

脆弱性の発見と開示

2026年6月、Ciscoはセキュリティアドバイザリを公開し、Catalyst SD-WAN ManagerのCLIにコマンドインジェクション脆弱性が存在することを認めた。この脆弱性を発見・報告したのはGoogle Mandiantのセキュリティ研究者で、現実の攻撃での悪用も限定的に確認されている。Ciscoは「設定変更がエッジデバイスにプッシュされた事例」を実際に観測したと明かした。

2026年6月時点で修正プログラムはリリースされておらず、公式なワークアラウンドも提供されていない。これはいわゆるゼロデイ状態に相当し、利用者は既知の悪用に対してパッチによる防御ができない状況に置かれている。

SD-WAN Managerとは

Cisco Catalyst SD-WAN Manager（旧名：SD-WAN vManage）は、企業のSD-WAN（Software-Defined Wide Area Network）インフラ全体を一元管理するコントロールプレーンだ。拠点間のWAN接続ポリシー・ルーティング・セキュリティポリシー・ファームウェアアップデートなど、すべてのエッジルーター（Cisco IOS-XEベースのCatalyst SD-WAN対応機器）を中央から制御する。

このコントローラーが侵害されると、管理下にある全エッジデバイスに悪意ある設定をプッシュできる。通信の傍受・トラフィックリダイレクト・ルーティング改ざんなど、WAN基盤全体が攻撃者の手に渡るに等しい。

技術的な解説

脆弱性の仕組み：不十分な入力検証

CVE-2026-20245の根本原因はCLIコマンド処理における入力検証の不備だ。攻撃者はnetadmin権限でSD-WAN ManagerのCLIにアクセスし、細工したファイルをシステムにアップロードする。このファイルの内容がコマンド実行コンテキストで適切にサニタイズされないため、攻撃者が意図したOSコマンドがrootとして実行される。

技術的にはCWE-78（OSコマンドインジェクション）に分類される古典的な脆弱性クラスだが、SD-WAN管理プレーンという高特権コンテキストで発生することが深刻度を高めている。

攻撃条件：netadmin権限の意味

本脆弱性の悪用にはnetadmin権限が必要だ。一見「条件が厳しい」と思えるが、以下の理由から過信は禁物だ：

内部脅威：netadmin権限を持つ内部者（悪意ある従業員・委託業者）が本脆弱性を悪用してrootに昇格できる
権限昇格の連鎖：先行する別の脆弱性（フィッシング・クレデンシャルスタッフィング等）でnetadmin権限を奪取したのち、本脆弱性でroot昇格するという二段階攻撃が現実的
クレデンシャルスタッフィング：過去に漏洩したnetadmin資格情報を再利用する攻撃
MFAが未設定のSD-WAN管理インタフェース：多要素認証を設定していない環境ではブルートフォースやフィッシング後に直接ログインされる可能性がある

悪用の観測：設定変更がエッジにプッシュ

Ciscoは「CVE-2026-20245の悪用によりエッジデバイスへの設定変更がプッシュされた事例を限定的に観測した」と公表している。具体的な設定内容は開示されていないが、SDWANコントローラー経由の設定変更が行われたという事実は、単なる権限昇格にとどまらず、配下のネットワーク全体への影響が発生したことを示唆している。

影響範囲：全デプロイタイプ

本脆弱性はデプロイ形態を問わず全環境が影響を受ける：

オンプレミス：自社データセンターで稼働するSD-WAN Manager
Cloud-Pro：Ciscoが管理するクラウドインスタンス
Cloud（Cisco管理）：マネージドクラウド提供形態
Government（FedRAMP）：米連邦政府向けFedRAMP認定環境

特に政府・重要インフラ向けのFedRAMP環境まで影響が及ぶ点は、国家安全保障の観点からも重大視されている。

日本企業への影響

SD-WAN採用企業のリスク

日本でもSD-WANの採用は急速に拡大している。特に多拠点展開する製造業・小売業・金融機関・通信事業者がCisco製SD-WAN基盤を利用している場合、本脆弱性の影響範囲に含まれる可能性がある。

Cisco SD-WAN Managerは単なる管理ツールではなく、WANポリシーの中枢だ。侵害された場合、攻撃者は以下のような操作が可能になる：

拠点間通信のトラフィックを攻撃者管理のサーバーにリダイレクト（中間者攻撃）
インターネットアクセスポリシーの変更（セキュリティフィルターの無効化）
VPN設定の変更・バックドア拠点接続の追加
全エッジルーターへのマルウェア入りファームウェアの配布

マネージドサービス利用者も要確認

SD-WAN基盤をマネージドサービスとして通信キャリアやSIerに委託している場合も、利用している製品がCisco SD-WAN Managerであれば間接的に影響を受ける。サービス提供者側のSD-WAN Managerが侵害されれば、顧客の設定が改ざんされるリスクがある。サービス提供者に問い合わせ、影響評価と対応状況を確認することが推奨される。

今すぐ確認すべきポイント

1. 利用製品・バージョンの確認

Cisco SD-WAN Manager（vManage）を利用している場合、Ciscoのセキュリティアドバイザリページで最新の影響バージョン情報を確認する
Cisco Security Advisories（sec.cloudapps.cisco.com/security/center/publicationListing.x）でCVE-2026-20245の最新情報を定期確認する

2. netadmin権限のアカウント管理

netadmin権限を持つアカウントを棚卸し、不要なアカウントを削除する
netadmin権限アカウントすべてに多要素認証（MFA）を適用する
netadmin権限アカウントへのログイン・操作を監査ログで記録・監視する
共有アカウントを廃止し、個人単位のアカウントに切り替える（操作追跡を可能にする）

3. 管理インタフェースへのアクセス制限

SD-WAN ManagerのWeb UI・CLIへのアクセスを、管理専用ネットワーク・踏み台サーバーからのみに制限する
インターネットから直接アクセス可能なSD-WAN Manager UIをファイアウォールで遮断する
Shodanで自社IPレンジにSD-WAN Manager関連のポートが公開されていないか確認する

4. 設定変更の監視と検知

SD-WAN Managerの設定変更ログを監視し、承認されていない変更があればアラートを発報する仕組みを構築する
エッジデバイスへの設定プッシュを承認フロー（Change Approval Workflow）で管理する
Cisco SIEM統合（Cisco SecureX・XDR）を活用して異常な管理操作を検知する

5. パッチリリース後の対応準備

Ciscoからパッチがリリースされ次第、速やかに適用できるよう変更管理プロセスを事前に準備する
パッチ適用のテスト環境（ステージング環境）を用意しておく
Cisco TAC（テクニカルサポートセンター）またはマネージドサービス提供者への問い合わせ連絡先を把握しておく

参考情報

Cisco Security Advisory: Cisco Catalyst SD-WAN Manager CLI Command Injection Vulnerability（CVE-2026-20245）
The Hacker News: Cisco Catalyst SD-WAN Manager CVE-2026-20245 Flaw Actively Exploited – No Patch Available（2026年6月）
Help Net Security: Cisco SD-WAN 0-day exploited, no patch available（CVE-2026-20245）（2026年6月）
SOC Prime: CVE-2026-20245: Cisco SD-WAN Manager Zero-Day Enables Root Command Execution
The Cyber Express: CVE-2026-20245 Exposes Cisco SD-WAN Networks To Risk