Cisco ha revelado que dos vulnerabilidades más que afectan a Catalyst SD-WAN Manager (anteriormente SD-WAN vManage) han sido explotadas activamente en la naturaleza.
Las vulnerabilidades en cuestión se enumeran a continuación:
- CVE-2026-20122 (Puntuación CVSS: 7,1): una vulnerabilidad de sobrescritura de archivos arbitraria que podría permitir a un atacante remoto autenticado sobrescribir archivos arbitrarios en el sistema de archivos tópico. La explotación exitosa requiere que el atacante tenga credenciales válidas de solo recitación con paso API en el sistema afectado.
- CVE-2026-20128 (Puntuación CVSS: 5,5): una vulnerabilidad de divulgación de información que podría permitir a un atacante tópico autenticado obtener privilegios de sucesor del Agente de resumen de datos (DCA) en un sistema afectado. La explotación exitosa requiere que el atacante tenga credenciales de vManage válidas en el sistema afectado.
Cisco lanzó los parches para los defectos de seguridad, próximo con CVE-2026-20126, CVE-2026-20129 y CVE-2026-20133, a fines del mes pasado en las siguientes versiones:
- Previo a la traducción 20.91: migre a una traducción fija.
- Interpretación 20.9 – Corregido en 20.9.8.2
- Interpretación 20.11 – Corregido en 20.12.6.1
- Interpretación 20.12: corregida en 20.12.5.3 y 20.12.6.1
- Interpretación 20.13 – Corregido en 20.15.4.2
- Interpretación 20.14 – Corregido en 20.15.4.2
- Interpretación 20.15 – Corregido en 20.15.4.2
- Interpretación 20.16 – Corregido en 20.18.2.1
- Interpretación 20.18 – Corregido en 20.18.2.1
“En marzo de 2026, Cisco PSIRT se dio cuenta de la explotación activa de las vulnerabilidades que se describen solamente en CVE-2026-20128 y CVE-2026-20122”, dijo el doble en equipos de redes. La empresa no dio más detalles sobre la escalera de la actividad y quién podría estar detrás de ella.
A la luz de la explotación activa, se recomienda a los usuarios refrescar a una traducción de software fija lo ayer posible y tomar medidas para localizar el paso desde redes no seguras, proteger los dispositivos detrás de un firewall, deshabilitar HTTP para el portal de administrador de la interfaz de sucesor web de Catalyst SD-WAN Manager, desactivar servicios de red como HTTP y FTP si no son necesarios, cambiar la contraseña de administrador predeterminada y monitorear el tráfico de registro para detectar cualquier tráfico inesperado alrededor de y desde los sistemas.
La divulgación se produce una semana a posteriori de que la compañía dijera que una descompostura de seguridad crítica en Cisco Catalyst SD-WAN Controller y Catalyst SD-WAN Manager (CVE-2026-20127, puntuación CVSS: 10.0) había sido explotada por un actor de amenazas cibernéticas mucho sofisticado rastreado como UAT-8616 para establecer puntos de apoyo persistentes en organizaciones de detención valía.
Esta semana, Cisco igualmente lanzó actualizaciones para atracar dos vulnerabilidades de seguridad de máxima compromiso en Secure Firewall Management Center (CVE-2026-20079 y CVE-2026-20131, puntuaciones CVSS: 10.0) que podrían permitir a un atacante remoto no autenticado evitar la autenticación y ejecutar código Java despótico como root en un dispositivo afectado.
