技術 約6分で読めます

Cisco SD-WAN CVSS 10.0にClaude脆弱性3件、NuGet/npmサプライチェーン攻撃

Security Cisco CVE Supply Chain npm NuGet AI Security Claude

2月後半に重めのセキュリティニュースが集中した。Cisco SD-WANのCVSS 10.0、NuGet/npmのサプライチェーン攻撃、そしてClaude AI周辺で立て続けに出た3件の問題を扱う。

Cisco SD-WAN CVE-2026-20127(CVSS 10.0)とUAT-8616

CiscoがCVSS 10.0の脆弱性CVE-2026-20127を開示した。対象はCisco Catalyst SD-WAN Controller(旧vSmart)とSD-WAN Manager(旧vManage)で、認証不要のリモート攻撃者が管理者権限を取得できる。

脆弱性の技術詳細

原因はSD-WANのピアリング認証メカニズムの不具合だ。SD-WAN ControllerとManagerは、他のネットワーク機器とピア認証で互いを確認する設計になっているが、そのメカニズムが正常に機能していない。攻撃者はこれを利用して認証をバイパスし、内部の高権限非rootユーザーアカウントとしてのアクセスを確立する。

その後、CVE-2022-20775(CVSS 7.8、特権昇格)を連鎖的に利用してroot権限へ昇格するのが観測されているパターンだ。

影響バージョンと修正バージョン

系統修正済みバージョン
20.9系20.9.8.2(2月27日リリース予定)
20.12系20.12.6.1
20.15系20.15.4.2
20.18系20.18.2.1
20.9以前修正バージョンへの移行が必須

UAT-8616の攻撃パターン

Cisco Talosは2023年から現在にかけてUAT-8616の活動を追跡しており、重要インフラ分野を標的としていると評価している。攻撃チェーンは次の段階で構成される。

  1. 初期アクセス: 不正ピアをネットワーク管理プレーンまたはコントロールプレーンに参加させる
  2. 権限昇格: CVE-2022-20775でroot権限を取得
  3. 永続化: ローカルユーザーアカウント作成、SSH認可鍵の追加、起動スクリプトの改変
  4. 制御: NETCONF(830番ポート)とSSHでSD-WAN管理プレーンを掌握
  5. 証跡隠蔽: /var/log のログ削除、コマンド履歴の消去、ネットワーク接続履歴の削除

ログ削除まで実施している点から、長期的な潜伏を前提とした高度な標的型攻撃と評価される。2023年から2026年まで少なくとも3年間にわたって継続されていた。

CISAの対応

CISAはCVE-2026-20127とCVE-2022-20775の両方をKnown Exploited Vulnerabilities(KEV)カタログに追加し、連邦機関向けにEmergency Directive 26-03を発令した。

FCEB(連邦民間行政機関)に課された期限:

アクション期限(米国東部時間)
SD-WAN在庫目録の提出2月26日 23:59
詳細在庫と実施済みアクションの報告3月5日
環境強化措置の完全報告3月26日

オーストラリアのASD-ACSC(Australian Signals Directorate)も同脆弱性を報告しており、米国外でも対応が進んでいる。

サプライチェーン攻撃: NuGet + npm

Socketが報告した2件のサプライチェーン攻撃。NuGetとnpmそれぞれで異なる攻撃手法が使われており、どちらも削除前に数千〜数万件のダウンロードを記録した。

NuGet: ASP.NET Identityの窃取(4,500+ DL)

2024年8月にhamzazaheerというアカウントが公開した4パッケージが攻撃の主体だ。

  • NCryptYo
  • DOMOAuth2_
  • IRAOAuth2.0
  • SimpleWriter_

4パッケージは役割が分かれた多段構成になっている。

NCryptYo は初期ドロッパーとして機能する。インストール時に localhost:7152 でローカルプロキシを確立し、攻撃者制御のC2サーバーへトラフィックをリレーする。暗号化されたペイロードの復号にはJITコンパイラフックを使用している。

DOMOAuth2_IRAOAuth2.0 は本命の情報窃取を担う。ASP.NET Identityのユーザーアカウント情報、ロール割り当て、権限マッピングを盗み出し、C2サーバーから受信した認可ルールで永続的なバックドアを作成する。

SimpleWriter_ はファイル書き込みと隠蔽プロセス実行のユーティリティとして機能する。

ASP.NET Identityは認証・認可の中枢にあるため、このデータの窃取は本番アプリケーション全体のアカウントシステムへの侵入口になる。

npm: Mythic C2配布(50,000+ DL)

2026年2月13日にアップロードされた ambar-src は、削除されるまでに50,000件以上のダウンロードを記録した。

npmの preinstall スクリプトフックを悪用し、パッケージのインストール時に悪意あるコードを実行する。実行環境のOSを検出して x-ya[.]ru ドメインからペイロードを取得する仕組みだ。

OSペイロード
Windowsmsinit.exe(暗号化済みシェルコード)
LinuxELFバイナリ(SSH逆シェルクライアント)
macOSApfell JXAエージェント(Mythic C2)

macOS向けに使われているApfellはMythic C2フレームワークのエージェントで、偵察、スクリーンショット取得、Google Chromeデータの盗聴、システムパスワードの取得が可能だ。

Tenableは「ambar-srcをインストールしたシステムは完全に侵害されたと見なすべき」と述べている。パッケージを削除しても、その後に展開された追加のマルウェアが残存している可能性がある。50,000件のダウンロード数は突出しており、CIシステムや開発環境への混入リスクが高い。preinstall フックは依存関係の深いところに潜んでいた場合、インストール時に自動実行されるため気づきにくい。

Claude AI関連のセキュリティ問題 3件

Claude周辺で2月後半に3件のセキュリティ問題が相次いで報じられた。

Claude Code: Hooks/MCP経由のRCEとAPIキー窃取

Check Point Researchが発見し、2026年2月25日に技術詳細を公開した2件の脆弱性。

  • CVE-2025-59536(CVSS 8.7): .claude/settings.json に悪意あるHookコマンドを仕込むことで、Claude Code起動時に自動実行される。MCPサーバーについても enableAllProjectMcpServers=true の設定でユーザー承認をバイパスできるため、プロジェクトのクローン時点でRCEが成立する
  • CVE-2026-21852: プロジェクト設定で ANTHROPIC_BASE_URL を上書きすることで、APIキーが攻撃者のサーバーに送信される

影響範囲はv1.0.111未満(RCE)とv2.0.65未満(APIキー窃取)。どちらも修正済みだ。

タイムラインとしては、2025年7月に報告、2025年8月と12月にそれぞれ修正、2026年2月25日に技術詳細が公開された。

Claude Desktop Extensions: ゼロクリックRCE(CVSS 10.0)

LayerXが発見した脆弱性。DXT(Desktop Extensions)がサンドボックスなしでフルシステム権限で実行される問題だ。

攻撃例としては、Googleカレンダーのイベントに悪意ある指示を埋め込み、曖昧なプロンプトを経由してClaudeに処理させる。Claudeは低リスクなコネクタ経由のデータ取得と高リスクなローカル実行をチェーンしてしまい、結果としてゼロクリックでのRCEが成立する。

50以上のDXTと10,000人以上のユーザーに影響がある。Anthropicはこの問題について「脅威モデル外」として修正を拒否しており、現時点では未修正のままだ。

メキシコ政府データ侵害(150GB)

Bloombergが2026年2月25日に報じた事例。攻撃者はスペイン語のプロンプトでClaudeをジェイルブレイクし、ペネトレーションテストに偽装して使用した。

2025年12月から2026年1月にかけての約1か月間で、連邦税務局(1.95億件の納税者記録)、選挙管理機関、複数の州政府から合計150GBのデータが流出した。

Anthropicの対応としては、該当アカウントの停止と、Opus 4.6への悪用検出プローブの追加が行われた。

参照リンク