プラットフォーム
cisco
コンポーネント
thousandeyes-enterprise-agent
修正版
5.0.1
4.4.5
4.4.4
4.4.3
4.2.1
4.1.1
4.0.1
5.1.1
5.1.3
Cisco ThousandEyes Enterprise AgentのCLIにおいて、認証されたローカル攻撃者がファイルを上書きできる脆弱性が存在します。この脆弱性は、ローカルファイルシステム上のファイルに対するアクセス制御の不備が原因で発生します。影響を受けるバージョンは4.0からAgent 5.1.2です。
Cisco ThousandEyes Enterprise AgentのCVE-2026-20161は、認証されたローカル攻撃者が、低権限で影響を受けるデバイスのローカルシステム上の任意のファイルを上書きすることを可能にします。これは、デバイスのローカルファイルシステム内のファイルに対する不適切なアクセス制御が原因です。攻撃者は、ローカルファイルシステム内の特定の場所にシンボリックリンクを配置することで、この脆弱性を悪用する可能性があります。 悪用が成功すると、攻撃者はデータの整合性を損ない、デバイス上で悪意のあるコードを実行する可能性があります。 CVSSスコアは5.5ですが、ローカルアクセスと低権限の必要性により、悪用の範囲は制限されますが、ローカルアクセスが適切に制限されていない環境では、依然として重大なリスクとなります。 Ciscoからの修正プログラムが提供されていないため、慎重な評価と代替の軽減策の実施が必要です。
CVE-2026-20161の悪用には、Cisco ThousandEyes Enterprise Agentを実行しているデバイスへのローカルアクセスが必要です。 攻撃者は、認証されたユーザー権限も必要とします。 攻撃は、ローカルファイルシステム内の特定の場所にシンボリックリンクを作成することを含みます。 このシンボリックリンクは、攻撃者が上書きしたいファイルを指します。 アクセス制御の欠陥により、攻撃者はターゲットファイルを上書きし、システム全体の整合性を損なう可能性があります。 悪用の難しさは、検出されないようにローカルアクセスを取得し、シンボリックリンクを作成することにあります。 Ciscoからの公式な修正プログラムがないことは、積極的な軽減策を実装することの重要性を高めています。
Organizations utilizing Cisco ThousandEyes Enterprise Agent for network performance monitoring are at risk, particularly those with less stringent access controls on their agent deployments. Environments with shared hosting or legacy configurations where agent access is not adequately restricted are especially vulnerable.
• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like '*ThousandEyes*'} | Stop-ScheduledTask• linux / server:
journalctl -u thousandeyes-agent | grep -i "symbolic link"• generic web:
curl -I http://<thousandeyes_agent_ip>/clidisclosure
エクスプロイト状況
EPSS
0.01% (2% パーセンタイル)
CISA SSVC
CVSS ベクトル
Ciscoが直接的な修正プログラム(fix: none)を提供していないため、軽減策は、補完的なセキュリティ対策を通じてリスクを低減することに重点を置いています。 ThousandEyes Enterprise Agentへのローカルアクセスを制限することを強くお勧めします。 2要素認証(MFA)や最小権限の原則などの厳格なアクセス制御を実装することで、悪用を防ぐことができます。 疑わしいシンボリックリンクの作成に対するファイルシステムの監視が重要です。 さらに、攻撃対象領域を最小限に抑えるために、ThousandEyesエージェントの構成をレビューおよび強化することが推奨されます。 エージェントがインストールされているデバイスを分離するためにネットワークセグメンテーションを検討することで、潜在的な悪用の影響を制限できます。 特定の環境における悪用の可能性と影響を判断するために、徹底的なリスク評価を実施する必要があります。
Cisco recomienda actualizar a una versión corregida del agente ThousandEyes Enterprise. Consulte la advisory de Cisco (https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-te-agentfilewrite-tqUw3SMU) para obtener más detalles sobre las versiones afectadas y las versiones corregidas disponibles.
脆弱性分析と重要アラートをメールでお届けします。
シンボリックリンクは、別のファイルまたはディレクトリへのショートカットとして機能するファイルの種類です。 この場合、システムを欺いてターゲットファイルを上書きするために使用されます。
最小権限の原則は、ユーザーまたはプロセスがタスクを実行するために必要な権限のみを持つべきであると述べています。 これにより、アカウントが侵害された場合の潜在的な損害を制限できます。
オープンソースと商用の両方で、さまざまなファイルシステム監視ツールが利用可能です。 これらのツールは、疑わしいシンボリックリンクの作成またはファイルの不正な変更について警告することができます。
システムが侵害された疑いがある場合は、すぐにデバイスをネットワークから隔離し、組織のセキュリティチームに連絡してください。 侵害の範囲を判断するために、フォレンジック調査を実施してください。
現在、CiscoはCVE-2026-20161に対する修正プログラムを提供していません。 CiscoのWebサイトとセキュリティアドバイザリを監視して、最新情報を入手することをお勧めします。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。