Una rotura de seguridad de máxima agravación recientemente revelada en Cisco Catalyst SD-WAN Controller (anteriormente vSmart) y Catalyst SD-WAN Manager (anteriormente vManage) ha sido objeto de explotación activa en la naturaleza como parte de una actividad maliciosa que se remonta a 2023.
La vulnerabilidad, rastreada como CVE-2026-20127 (Puntuación CVSS: 10.0), permite a un atacante remoto no autenticado eludir la autenticación y obtener privilegios administrativos en el sistema afectado enviando una solicitud diseñada a un sistema afectado.
La explotación exitosa de la rotura podría permitir al adversario obtener privilegios elevados en el sistema como una cuenta de becario interna, no root y con altos privilegios.
“Esta vulnerabilidad existe porque el mecanismo de autenticación de peering en un sistema afectado no funciona correctamente”, dijo Cisco en un aviso, agregando que el actor de la amenaza podría emplear la cuenta de becario no root para penetrar a NETCONF y manipular la configuración de red para la estructura SD-WAN.
La deficiencia afecta a los siguientes tipos de implementación, independientemente de la configuración del dispositivo:
- Implementación particular
- Cirro SD-WAN alojada en Cisco
- Cirro SD-WAN alojada en Cisco: administrada por Cisco
- Cirro SD-WAN alojada en Cisco: entorno FedRAMP
Cisco le dio crédito al Centro Australiano de Seguridad Cibernética (ASD-ACSC) de la Dirección Australiana de Señales por informar sobre la vulnerabilidad. El entendido en equipos de redes está rastreando la explotación y la posterior actividad posterior al compromiso bajo el nombre de UAT-8616, y describe el clúster como un “actor de amenazas cibernéticas en extremo sofisticado”.
La vulnerabilidad se ha solucionado en las siguientes versiones de Cisco Catalyst SD-WAN:
- Antaño de la interpretación 20.91: migre a una interpretación fija.
- Traducción 20.9 – 20.9.8.2 (extensión estimado para el 27 de febrero de 2026)
- Traducción 20.111 – 20.12.6.1
- Traducción 20.12.5 – 20.12.5.3
- Traducción 20.12.6 – 20.12.6.1
- Traducción 20.131 – 20.15.4.2
- Traducción 20.141 – 20.15.4.2
- Traducción 20.15 – 20.15.4.2
- Traducción 20.161 – 20.18.2.1
- Traducción 20.18 – 20.18.2.1
“Los sistemas Cisco Catalyst SD-WAN Controller que están expuestos a Internet y que tienen puertos expuestos a Internet corren el aventura de encontrarse comprometidos”, advirtió Cisco.
La compañía igualmente recomendó a los clientes que auditen el archivo “/var/log/auth.log” en investigación de entradas relacionadas con la “Esencia pública aceptada para vmanage-admin” de direcciones IP desconocidas o no autorizadas. Todavía se recomienda confirmar las direcciones IP en el archivo de registro auth.log con las IP del sistema configuradas que se enumeran en la interfaz de becario web de Cisco Catalyst SD-WAN Manager (WebUI > Dispositivos > IP del sistema).
Según la información publicada por ASD-ACSC, se dice que UAT-8616 ha comprometido las SD-WAN de Cisco desde 2023 a través del exploit de día cero, lo que le permite obtener un paso elevado.
“La vulnerabilidad permitió a un actor cibernético solapado crear un par deshonesto unido al plano de diligencia de red, o plano de control, de la SD-WAN de una ordenamiento”, dijo ASD-ACSC. “El dispositivo fraudulento aparece como un componente SD-WAN nuevo pero temporal, controlado por un actor, que puede realizar acciones confiables internamente del plano de diligencia y control”.
Posteriormente de comprometer con éxito una aplicación pública, se descubrió que los atacantes aprovechan el mecanismo de modernización incorporado para realizar una degradación de la interpretación del software y escalarla al becario raíz explotando CVE-2022-20775 (puntuación CVSS: 7,8), un error de ascensión de privilegios de suscripción agravación en la CLI del software Cisco SD-WAN, y luego restaurar el software a la interpretación que se estaba ejecutando originalmente.
Algunos de los pasos posteriores iniciados por el actor de amenazas son los siguientes:
- Creé cuentas de usuarios locales que imitaban otras cuentas de usuarios locales.
- Se agregó una esencia autorizada del Protocolo Secure Shell (SSH) para paso raíz y se modificaron los scripts de inicio relacionados con SD-WAN para personalizar el entorno.
- Se utilizó el protocolo de configuración de red en el puerto 830 (NETCONF) y SSH para conectarse a/entre dispositivos Cisco SD-WAN internamente del plano de oficina.
- Se tomaron medidas para eliminar la evidencia de la intrusión eliminando los registros en “/var/log”, el historial de comandos y el historial de conexiones de red.
“El intento de explotación de UAT-8616 indica una tendencia continua de apuntar a dispositivos de borde de red por parte de actores de amenazas cibernéticas que buscan establecer puntos de apoyo persistentes en organizaciones de suspensión valencia, incluidos los sectores de infraestructura crítica (CI)”, dijo Talos.
El avance ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) a amplificar CVE-2022-20775 y CVE-2026-20127 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), obligando a las agencias del Poder Ejecutante Civil Federal (FCEB) a aplicar las correcciones internamente de las próximas 24 horas.
Para comprobar si hay una degradación de la interpretación y eventos de reinicio inesperados, CISA recomienda analizar los siguientes registros:
- /var/volatile/log/vdebug
- /var/log/tmplog/vdebug
- /var/volatile/log/sw_script_synccdb.log
CISA igualmente ha emitido una nueva directiva de emergencia, 26-03: Mitigar las vulnerabilidades en los sistemas Cisco SD-WAN, como parte de la cual las agencias federales deben inventariar los dispositivos SD-WAN, aplicar actualizaciones y evaluar posibles compromisos.
Con ese fin, se ordenó a las agencias que proporcionen un catálogo de todos los sistemas SD-WAN incluidos en sus redes ayer del 26 de febrero de 2026 a las 11:59 p. m., hora del Este. Encima, deben dirigir un inventario detallado de todos los productos incluidos y las acciones tomadas ayer del 5 de marzo de 2026 a las 11:59 p. m., hora del Este. Por postrer, las agencias deberán presentar la inventario de todos los pasos tomados para reanimar sus entornos ayer del 26 de marzo de 2026 a las 11:59 p. m., hora del Este.
