セキュリティブリーフィング 2026年2月26日 7分で読了

Cisco SD-WAN CVE-2026-20127が2023年から悪用 — CarGurus 1,240万件の情報漏洩 — SLHがビッシング要員として女性を募集

Cisco Catalyst SD-WANにおけるCVSS 10.0の認証バイパスが2023年から積極的に悪用されています。CarGurusはShinyHuntersによる1,240万ユーザーの侵害を確認しました。サイバー犯罪スーパーグループがITヘルプデスクへのソーシャルエンジニアリング攻撃を行う女性に1通話$1,000を支払っています。さらに:SolarWindsが4件の重大なServ-U RCE脆弱性をパッチし、防衛請負業者がロシアへのエクスプロイト販売で87ヶ月の禁固刑を受けました。


緊急:Cisco SD-WAN認証バイパス(CVE-2026-20127)

CVSS 10.0 — 2023年からゼロデイとして悪用

Ciscoは、Cisco Catalyst SD-WAN Controller(旧vSmart)およびSD-WAN Manager(旧vManage)における最大深刻度の認証バイパスを公開しました。この脆弱性により、リモートの未認証攻撃者が高権限の内部ユーザーとしてログインし、NETCONFを介してSD-WANファブリック全体を操作することが可能です。

何が起きたか

この脆弱性は、破損したピアリング認証メカニズムに起因します。攻撃者はこれを悪用してSD-WAN環境に不正なピアを追加し、正規に見える悪意のあるデバイスを注入して、攻撃者が制御するインフラストラクチャを通じてトラフィックをルーティングすることが可能です。

Cisco Talosはこの活動をUAT-8616として追跡し、高度に洗練された脅威アクターに高い確信度で帰属させています。テレメトリによると、悪用は少なくとも2023年にまで遡ります。攻撃者は古い脆弱性(CVE-2022-20775)を悪用するためにファームウェアをダウングレードしてrootに昇格し、検出を回避するために元のバージョンを復元しました。

この開示は、Cisco、オーストラリアサイバーセキュリティセンター(ASD's ACSC)、CISA(緊急指令26-03)、および英国当局間で調整されました。

影響を受ける対象

即時対応事項

  1. 直ちにパッチを適用 — Ciscoは緊急アップデートをリリースしました
  2. ピアリストを監査 — SD-WANファブリック内の不正なピアを確認してください
  3. ファームウェア履歴を確認 — 予期しないバージョン変更(ダウングレード/アップグレードパターン)を探してください
  4. ネットワークフォレンジック — 未知のコントローラーへの接続のトラフィックを検査してください
  5. 未パッチの場合は侵害を想定 — これは3年以上にわたって悪用されています

CarGurus情報漏洩:1,240万ユーザーが露出

自動車マーケットプレイスのCarGurusは、1,240万人以上のユーザーに影響するデータ侵害を確認しました。ShinyHuntersグループが犯行を主張し、個人識別情報と内部企業データを窃取したと述べています。

これは、ShinyHuntersのWynn Resortsへの攻撃に続くものです。同攻撃では従業員データが盗まれましたが、交渉が行われた後にリークサイトからリストが削除されました。

露出したデータ

影響: ご自身または従業員がCarGurusを利用していた場合、盗まれたデータを利用したフィッシングキャンペーンに注意してください。クレデンシャルスタッフィング攻撃が数日以内に予想されます。


SLHスーパーグループがビッシング要員に1通話$1,000を提供

サイバー犯罪スーパーグループScattered LAPSUS$ Hunters(SLH)— LAPSUS$、Scattered Spider、ShinyHuntersの合併体 — が、ITヘルプデスクに対するボイスフィッシング(ビッシング)攻撃を行うために女性を積極的に募集しています。

大規模なソーシャルエンジニアリング

Dataminrの脅威インテリジェンスによると、SLHは1通話あたり$500〜$1,000と事前に作成されたスクリプトを提供しています。その戦略は、女性の声の方がヘルプデスクにパスワードリセットやMFAバイパスを求める従業員を偽装する際に成功率が高い可能性があるというものです。

SLHはMFAプロンプトボミング、SIMスワッピング、ヘルプデスクのソーシャルエンジニアリングの実績があります。この募集キャンペーンはソーシャルエンジニアリングの産業化を示しています — 日和見的な攻撃から、有償で組織化されたコールセンター運営への移行です。

防御に関する推奨事項


SolarWinds Serv-U:4件の重大なRCE脆弱性

SolarWindsは、リモートコード実行を可能にするServ-Uファイル転送ソフトウェアの4件の重大な脆弱性をパッチしました。これらの脆弱性には管理者権限が必要ですが、Serv-Uは歴史的に標的にされてきた製品です(2021年のサプライチェーン攻撃を思い出してください)。

重要な理由

ファイル転送アプライアンスは、ランサムウェアグループにとって最も一般的な初期アクセスベクターであり続けています。MOVEit、GoAnywhere、Citrix ShareFile — そして今再びServ-Uです。Serv-Uを運用している場合は、エクスプロイトコードが必然的に公開される前にパッチを適用してください。


中国のサイバースパイ活動:数十の通信事業者と政府機関が侵害

Googleの脅威インテリジェンスグループ(GTIG)、Mandiant、および国際パートナーが、中国の脅威アクターUNC2814に帰属するグローバルなスパイキャンペーンを阻止しました。このグループは少なくとも2017年から活動しており、42カ国の組織を標的としています。

攻撃者は正規のSaaS API呼び出しを使用して悪意のあるトラフィックを偽装し、検出を極めて困難にしました。標的には通信プロバイダーと政府機関が含まれ、典型的なインテリジェンス収集の目的でした。


防衛請負業者がロシアへのエクスプロイト販売で87ヶ月の禁固刑

元米国防衛請負業者幹部のPeter Williamsが、ロシアのブローカーにサイバーエクスプロイトを販売した罪で連邦刑務所87ヶ月の刑を宣告されました。この事件は、防衛サプライチェーンにおける内部脅威の継続的なリスクを浮き彫りにしています。


サプライチェーンコーナー:悪意のあるNuGet + 偽のNext.js面接

今週発見された2つの別々のサプライチェーンキャンペーン:

開発チームへ: NuGetの依存関係を監査し、未承諾の就職面接からリンクされたリポジトリには警戒してください。


UFP Technologies:医療機器メーカーがランサムウェアに被害

米国の医療機器メーカーUFP Technologiesが、データ窃取とファイル暗号化マルウェアを伴うサイバー攻撃を公表しました。医療セクターは引き続き不均衡に標的にされています — 攻撃者は患者データがプレミアムな身代金を要求でき、規制圧力が迅速な支払いを強いることを知っています。


本日の優先対応事項

  1. Cisco SD-WAN — CVE-2026-20127を直ちにパッチ(CVSS 10.0、2023年から悪用)
  2. SolarWinds Serv-U — 重大なRCEパッチを適用
  3. ヘルプデスクの強化 — SLHビッシングキャンペーンが活発に拡大中
  4. CarGurus情報漏洩 — 盗まれたデータを利用したクレデンシャルスタッフィングとフィッシングを監視
  5. 開発者サプライチェーン — NuGetパッケージを監査し、偽の面接リポジトリに警戒
  6. 通信/政府機関 — 対象セクターの場合、UNC2814の指標を確認

Kensaiによる保護

Cisco SD-WAN検出 — CVE-2026-20127および脆弱な構成をスキャン

サプライチェーン監視 — NuGet、npm、PyPI全体の悪意のあるパッケージを追跡

AI駆動の修復 — アラートだけでなく、パッチを提供。コードベースへの自動生成PR。

NIS2コンプライアンス — 規制要件に対応したドイツ語レポート

60秒でインフラストラクチャをスキャン

332,000以上のCVEをインデックス。AI生成パッチ。GitHub PR自動化。

無料トライアルを開始

安全を保ちましょう。警戒を怠らないでください。

🗡️ KENSAIセキュリティチーム

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home

📚 Related Articles

🛡️ Is your website secure?

Discover vulnerabilities before attackers do.

Scan your website for free →