【要点】
◎Cisco SD-WANのゼロデイ悪用を受け、米CISAが緊急指令を発令し即時更新を要求 (Security NEXT)
【脆弱性内容】
| 公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v4 |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|---|
| 2022/09/30 | 2021/11/02 | CVE-2022-20775 | NVD | Cisco | - | 7.8(Cisco) |
CWE-22 CWE-25 |
パス・トラバーサル パストラバーサル (/../filedir) |
2026/02/25 | Cisco SD-WAN vManage |
| 2026/02/25 | 2025/10/08 | CVE-2026-20127 | NVD | Cisco | - | 10.0(Cisco) |
CWE-287 | 不適切な認証 | 2026/02/25 | Cisco Catalyst SD-WAN Manager |
【要約】
Cisco Catalyst SD-WANの脆弱性CVE-2026-20127およびCVE-2022-20775を悪用したゼロデイ攻撃が確認され、米CISAは緊急指令ED 26-03を発令した。認証バイパスで初期侵入後、権限昇格と組み合わせ永続的アクセスを確立する手口とされる。連邦機関には期限付きで資産報告、更新適用、侵害調査を義務付けた。CVSSは最高値10.0で、各国当局も警戒を呼びかけている。
【ニュース】
◆ゼロデイ攻撃による「Cisco SD-WAN」侵害を確認 - 米当局が緊急指令 (Security NEXT, 2026/02/26)
https://www.security-next.com/181440
