Una falla de seguridad de máxima gravedad recientemente revelada en Cisco Catalyst SD-WAN Controller (anteriormente vSmart) y Catalyst SD-WAN Manager (anteriormente vManage) ha sido explotada activamente en estado salvaje como parte de una actividad maliciosa que se remonta a 2023.

La vulnerabilidad, rastreada como CVE-2026-20127 (puntuación CVSS: 10,0), permite a un atacante remoto no autenticado eludir la autenticación y obtener privilegios administrativos en el sistema afectado enviando una solicitud diseñada a un sistema afectado.

La explotación exitosa de la falla podría permitir al adversario obtener privilegios elevados en el sistema como cuenta de usuario interna, con altos privilegios y no root.

«Esta vulnerabilidad existe porque el mecanismo de autenticación entre pares de un sistema afectado no funciona correctamente», dijo Cisco dijo en un aviso, agregar al actor de la amenaza podría aprovechar la cuenta de usuario no raíz para acceder a NETCONF y manipular la configuración de red para la estructura SD-WAN.

La deficiencia afecta a los siguientes tipos de implementación, independientemente de la configuración del dispositivo:

  • Implementación local
  • Nube SD-WAN alojada de Cisco
  • Nube SD-WAN alojada de Cisco - Administrada por Cisco
  • Nube SD-WAN alojada de Cisco: entorno FedRAMP

Cisco acreditó al Centro Australiano de Ciberseguridad (ASD-ACSC) de la Dirección de Señales de Australia por informar sobre la vulnerabilidad. La empresa especializada en equipos de redes está rastreando la explotación y las subsiguientes actividades posteriores al ataque con el nombre de UAT-8616 , describiendo al clúster como un «actor de ciberamenazas altamente sofisticado».

adsense

La vulnerabilidad se solucionó en las siguientes versiones de Cisco Catalyst SD-WAN:

  • Antes de la versión 20.91: migre a una versión fija.
  • Versión 20.9 - 20.9.8.2 (versión estimada para el 27 de febrero de 2026)
  • Versión 20.111 - 20.12.6.1
  • Versión 20.12.5 - 20.12.5.3
  • Versión 20.12.6 - 20.12.6.1
  • Versión 20.131 - 20.15.4.2
  • Versión 20.141 - 20.15.4.2
  • Versión 20.15 - 20.15.4.2
  • Versión 20.161 - 20.18.2.1
  • Versión 20.18 - 20.18.2.1

«Los sistemas controladores Cisco Catalyst SD-WAN que están expuestos a Internet y que tienen puertos expuestos a Internet corren el riesgo de quedar expuestos a riesgos», advirtió Cisco.

La empresa también ha recomendado a los clientes que auditen el archivo "/var/log/auth.log" para ver las entradas relacionadas con «Clave pública aceptada para vmanage-admin» procedentes de direcciones IP desconocidas o no autorizadas. También se recomienda comprobar las direcciones IP del archivo de registro auth.log comparándolas con las direcciones IP del sistema configuradas que figuran en la interfaz de usuario web de Cisco Catalyst SD-WAN Manager (interfaz de usuario web > Dispositivos > IP del sistema).

Según la información publicada por el ASD-ACSC, se dice que el UAT-8616 ha comprometido las SD-WAN de Cisco desde 2023 a través del exploit de día cero, lo que le permite obtener un acceso elevado.

«La vulnerabilidad permitió a un ciberactor malintencionado crear un par deshonesto unido al plano de administración de red, o plano de control, de la SD-WAN de una organización», afirma ASD-ACSC. «El dispositivo no autorizado se presenta como un componente SD-WAN nuevo, temporal y controlado por un actor, que puede llevar a cabo acciones confiables dentro del plano de administración y control».

Tras comprometer con éxito una aplicación pública, se ha descubierto que los atacantes aprovechan el mecanismo de actualización incorporado para reducir la versión del software y pasarla al usuario raíz mediante la explotación CVE-20775 (puntuación CVSS: 7.8), un error de escalamiento de privilegios de alta gravedad en la CLI del software Cisco SD-WAN y, a continuación, se restaura el software a la versión en la que se estaba ejecutando originalmente.

Algunas de las medidas posteriores iniciadas por el actor de la amenaza son las siguientes:

  • Creó cuentas de usuario locales que imitaban otras cuentas de usuario locales.
  • Se agregó una clave autorizada del Protocolo Secure Shell (SSH) para el acceso raíz y se modificaron los scripts de inicio relacionados con SD-WAN para personalizar el entorno.
  • Se utilizó el protocolo de configuración de red en el puerto 830 (NETCONF) y SSH para conectarse a/entre los dispositivos Cisco SD-WAN dentro del plano de administración.
  • Tomé medidas para eliminar las pruebas de la intrusión purgando los registros de «/var/log», el historial de comandos y el historial de conexiones de red.

«El intento de explotación del UAT-8616 indica una tendencia continua de atacar los dispositivos periféricos de la red por parte de los actores de ciberamenazas que buscan establecer una posición persistente en las organizaciones de alto valor, incluidos los sectores de infraestructura crítica (CI)», dijo Talos.

enlaces

El desarrollo ha llevado a la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) a agregar tanto CVE-777720775 como CVE-2026-20127 a sus vulnerabilidades explotadas conocidas ( KEV ), que obliga a las agencias del Poder Ejecutivo Civil Federal (FCEB) a aplicar las correcciones en las próximas 24 horas.

Para comprobar si hay eventos de degradación de versión y reinicio inesperados, CISA recomienda analizando los siguientes registros -

  • /var/volatile/log/vdebug
  • /var/log/tmplog/vdebug
  • /var/volatile/log/sw_script_synccdb.log

CISA también tiene emitido una nueva directiva de emergencia, 26-03: Mitigue las vulnerabilidades en los sistemas Cisco SD-WAN , como parte del cual las agencias federales deben inventariar los dispositivos SD-WAN, aplicar actualizaciones y evaluar posibles riesgos.

Con ese fin, se ha ordenado a las agencias que proporcionen un catálogo de todos los sistemas SD-WAN incluidos en sus redes antes del 26 de febrero de 2026 a las 11:59 p.m. ET. Además, deben presentar un inventario detallado de todos los productos incluidos y de las medidas adoptadas antes del 5 de marzo de 2026 a las 23:59 (hora del este). Por último, las agencias deberán presentar la lista de todas las medidas adoptadas para reforzar sus entornos antes del 26 de marzo de 2026 a las 11:59 p. m., hora del este.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.