Google 傘下の Mandiant が、Cisco Catalyst SD-WAN Manager (vManage) を狙ったゼロデイ攻撃の詳細を新たに公開しました。CVE-2026-20245 (CVSS 7.8) はテナント アップロード機能の入力検証不備に由来するコマンド インジェクションで、Cisco による公表前から少なくとも 2 か月にわたり実環境で悪用されていたとしています。
主なポイント
- 攻撃者は 2026 年 3月以降、vmanage-admin アカウントで rogue peer を確立した後、evil_tenant.csv という細工 CSV を tenant-upload 機能経由で送信
- ペイロードはまず /etc/passwd と /etc/shadow をバックアップしたうえで直接書き換え、root 権限の troot アカウントを新設
- 設定ファイルを改変前後でバックアップ・復元し、生成物の削除と痕跡検証スクリプトまで走らせる徹底した anti-forensic 動作を確認
- 既知の SD-WAN 系ゼロデイと chain させた多段攻撃である可能性が高く、CVE-2026-20245 自体は侵入後の権限昇格に使われた
- 緩和は vManage 20.9.9.2 / 20.12.7.2 / 20.15.4.5 / 20.15.5.3 / 20.18.3.1 / 26.1.1.2 以降への更新が必須
出典: Mandiant reveals how Cisco SD-WAN zero-day attacks gained root access - BleepingComputer