信頼度ランク
| S | 公式ソース確認済み |
| A | 成功実績多数・失敗例少数 |
| B | 賛否両論 |
| C | 動作未確認・セキュリティリスク高 |
| Z | 個人所感 |
Cisco Catalyst SD-WAN Controller CVE-2026-20182(CVSS 10.0)——CISA KEV入り・連邦機関パッチ期限は5月17日
Cisco Catalyst SD-WAN ControllerにCVSS 10.0の認証バイパス脆弱性。vdaemonサービスを標的にしたUAT-8616による悪用が確認済み。CISA KEVに追加され連邦機関は5月17日までのパッチが義務付けられた。
一言結論
CVE-2026-20182はCisco Catalyst SD-WAN Controllerのvdaemonサービスに存在するCVSS 10.0の認証バイパスで、未認証の攻撃者がリモートから管理者権限を取得できる。高度な脅威アクターUAT-8616による悪用が進行中であり、CISA KEV追加・連邦機関への5月17日パッチ義務が示すとおり即時対応が必要だ。
何が起きたか
2026年5月14日、CISAが CVE-2026-20182 を Known Exploited Vulnerabilities (KEV) カタログに追加した。
これは Cisco Catalyst SD-WAN Controller に存在する認証バイパス脆弱性で、CVSS スコアは 10.0(最大値)。連邦機関には 2026年5月17日 までのパッチ適用が義務付けられており、民間企業でも即時対応が強く推奨される。
CVE-2026-20182 基本情報:
製品: Cisco Catalyst SD-WAN Controller
CVSS: 10.0 (Critical)
タイプ: 認証バイパス (Authentication Bypass)
攻撃要件: 未認証・リモート・ネットワーク到達可能
影響: 管理者権限の奪取
悪用状況: 現在進行中(UAT-8616 グループが悪用確認)
CISA KEV: 2026年5月14日追加
連邦パッチ期限: 2026年5月17日脆弱性の仕組み
攻撃対象:vdaemon サービス
Cisco Catalyst SD-WAN Controller は内部的に vdaemon というサービスを使い、SD-WAN デバイスと DTLS(Datagram Transport Layer Security)で通信する。このサービスは UDP ポート 12346 でリッスンしている。
問題は、vdaemon が DTLS セッションの確立前に認証状態を誤って信頼する実装にあった。
通常フロー(期待される動作):
攻撃者 → [DTLS ClientHello] → vdaemon
vdaemon → [認証要求] → 攻撃者
攻撃者 → [証明書/クレデンシャル] → vdaemon
vdaemon → [認証成功後にセッション確立]
脆弱フロー(CVE-2026-20182):
攻撃者 → [細工した DTLS パケット] → vdaemon (UDP/12346)
vdaemon → [認証チェックをスキップ] → 管理者セッション確立
攻撃者 → [管理 API へのフルアクセス] ← 認証なしで到達なぜ CVSS 10.0 か
CVSS 10.0 は以下の条件が揃ったときに付与される:
| 指標 | 値 | 理由 |
|---|---|---|
| 攻撃ベクター | ネットワーク | インターネット越しに到達可能 |
| 攻撃複雑度 | 低 | 特殊条件不要 |
| 権限要件 | なし | 認証なしで攻撃可能 |
| ユーザー操作 | 不要 | 被害者の行動なしに完結 |
| 機密性 | 高 | SD-WAN 全設定の読み取り |
| 完全性 | 高 | 設定の書き換え可能 |
| 可用性 | 高 | サービス停止可能 |
SD-WAN Controller は企業ネットワーク全体のルーティングを管理する中枢であるため、奪取時の爆発半径が極めて大きい。
UAT-8616 の悪用パターン
Rapid7 の分析によると、脆弱性を悪用している UAT-8616 は国家支援型と見られる高度な脅威アクターだ。
確認されている攻撃シーケンス(概要):
1. インターネット上の Cisco SD-WAN Controller に UDP/12346 をスキャン
2. CVE-2026-20182 で管理者権限を取得
3. SD-WAN ルーティングポリシーを改ざん(トラフィック傍受)
4. 内部セグメントへラテラルムーブメント
5. 設定にバックドア(不正 VPN トンネル)を仕込んで永続化特に ステップ3の設定改ざん が危険で、SD-WAN 管理者が気づかないまま機密通信が第三者の経路を経由するよう書き換えられる。
影響を受けるバージョンと修正版
Cisco が公式セキュリティアドバイザリ(cisco-sa-sdwan-rpa2-v69WY2SW)で示したバージョン情報:
影響を受けるバージョン:
Cisco Catalyst SD-WAN Controller 20.x 系(特定ビルド以前)
Cisco SD-WAN vManage 同上
修正バージョン:
各系列の最新セキュリティパッチ(アドバイザリ参照)
WorKaround:
UDP/12346 を信頼できるアドレスのみに ACL で制限
(パッチ適用までの暫定措置)注意: 具体的なパッチバージョン番号は Cisco の公式アドバイザリを必ず確認すること。環境によって適用すべきリリーストレインが異なる。
開発者・インフラ担当者への影響
今すぐやること
# 影響を受ける Controller の UDP/12346 の公開状況確認
nmap -sU -p 12346 <SD-WAN-Controller-IP>
# ACL で信頼済み IP のみに制限(緊急 Workaround)
# Cisco IOS XE の例:
ip access-list extended VDAEMON_ACL
permit udp <trusted-mgmt-subnet> any eq 12346
deny udp any any eq 12346
permit ip any any
interface GigabitEthernet0/0
ip access-group VDAEMON_ACL inパッチ適用のチェックリスト
□ Cisco PSIRT アドバイザリ cisco-sa-sdwan-rpa2-v69WY2SW を読む
□ 環境の SD-WAN Controller バージョンを確認
□ 修正バージョンへのアップグレード計画を立てる(連邦機関: 5/17 必達)
□ 過去のセッションログを監査(UAT-8616 の侵入痕跡確認)
□ SD-WAN ポリシーが改ざんされていないか diff を取る
□ UDP/12346 のアクセスを管理 IP に絞る(パッチ後も推奨)落とし穴・注意点
Workaround は完全な緩和策ではない
ACL で UDP/12346 を制限しても、内部ネットワークから到達可能な場合には依然リスクが残る。パッチ適用が唯一の根本的解決策。
既存のセッションを確認せよ
CISA KEV に追加される前から悪用が確認されている。パッチ適用後も、侵害を受けていないか SD-WAN のルーティングポリシーとログを遡及調査すること。
Cisco TACとの調整
SD-WAN のバージョンアップはコントロールプレーンの再起動を伴うことが多い。メンテナンスウィンドウの計画と Cisco TAC への事前連絡を推奨。
まとめ
| 項目 | 内容 |
|---|---|
| CVE | CVE-2026-20182 |
| CVSS | 10.0(最大値) |
| 影響製品 | Cisco Catalyst SD-WAN Controller |
| 攻撃 | 未認証リモート → 管理者権限 |
| 悪用状況 | UAT-8616 が現在進行中 |
| CISA KEV | 2026年5月14日追加 |
| パッチ期限 | 連邦機関 2026年5月17日 |
| 緊急対応 | UDP/12346 の ACL 制限 + 即時パッチ |
SD-WAN は企業ネットワークの中枢であり、ここを奪われると全拠点のトラフィックが傍受・改ざんされうる。CVSS 10.0 かつ悪用進行中という状況は「いつかやる」の猶予を与えない。
参考リンク
- Cisco Security Advisory: cisco-sa-sdwan-rpa2-v69WY2SW
- Rapid7: CVE-2026-20182 Critical Authentication Bypass in Cisco Catalyst SD-WAN Controller
- CISA KEV: Known Exploited Vulnerabilities Catalog
- CISA Alert: 2026-05-14 Added to KEV
情報ソース: 本記事はCisco公式アドバイザリ・Rapid7ブログ・CISA KEVを基に作成。攻撃の内部挙動(UAT-8616 のステップ詳細)は公開情報の範囲での推定を含む。