Alerta de Seguridad: Cisco Catalyst SD-WAN Manager Directory Traversal permite escritura arbitraria de ficheros (CVE-2026-20262)

Contexto técnico: Cisco Catalyst SD-WAN Manager (anteriormente vManage) es la interfaz centralizada de orquestación y gestión de políticas para infraestructuras SD-WAN de Cisco. CVE-2026-20262 es una vulnerabilidad de recorrido de directorio (directory/path traversal, CWE-22) con puntuación CVSS 3.x de 6.5 (MEDIUM), catalogada por CISA en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) con fecha límite FCEB el 29 de junio de 2026.

Mecanismo de explotación: La vulnerabilidad reside en una validación insuficiente de las rutas de fichero proporcionadas por el usuario en uno o más endpoints de la API o interfaz web del SD-WAN Manager. Un atacante remoto que cuente con credenciales válidas (autenticación requerida) puede manipular secuencias de caracteres de traversal de ruta (p. ej., ../ o variantes codificadas) en parámetros de solicitudes HTTP/HTTPS dirigidas al gestor. Esto le permite escapar del directorio de trabajo legítimo de la aplicación y referenciar rutas absolutas o relativas fuera del sandbox previsto, logrando la creación o sobrescritura de cualquier fichero accesible por el proceso del servicio en el sistema de ficheros subyacente del appliance o VM afectada.

Impacto potencial: Aunque el vector requiere autenticación previa, el impacto es crítico en términos operativos: un atacante puede sobrescribir ficheros de configuración del sistema operativo (p. ej., /etc/passwd, scripts de inicio, binarios de servicios), claves criptográficas, certificados TLS o ficheros de configuración de SD-WAN, lo que podría derivar en escalada de privilegios, persistencia, denegación de servicio sobre el plano de gestión o, en escenarios encadenados con otras vulnerabilidades, en ejecución remota de código (RCE). El compromiso del SD-WAN Manager tiene un radio de impacto elevado, ya que este componente gestiona la totalidad de los dispositivos edge y políticas de la red SD-WAN corporativa. CISA ha añadido esta vulnerabilidad al KEV, lo que implica evidencia de explotación activa o alta probabilidad de la misma.

• Aplicar parches del fabricante con carácter prioritario: Revisar y aplicar inmediatamente las actualizaciones indicadas en el advisory oficial de Cisco: cisco-sa-sdwan-arbfw-c2rZvQ. Consultar las versiones afectadas y las versiones corregidas específicas publicadas por Cisco en dicho advisory.
• Fecha límite FCEB (BOD 26-04): Las agencias federales del ejecutivo civil de EE.UU. deben remediar esta vulnerabilidad antes del 29 de junio de 2026, conforme a la Directiva Operativa Vinculante BOD 26-04 de CISA.
• Restricción de acceso al plano de gestión: Limitar el acceso a la interfaz de administración de Cisco Catalyst SD-WAN Manager exclusivamente a redes de gestión dedicadas (OOB), mediante listas de control de acceso (ACL) y/o segmentación de red. Deshabilitar el acceso directo desde Internet.
• Revisión de cuentas y principio de mínimo privilegio: Auditar todas las cuentas con acceso al SD-WAN Manager. Revocar credenciales innecesarias o comprometidas. Aplicar autenticación multifactor (MFA) en todos los accesos administrativos.
• Implementación de Forensics Triage Requirements de CISA: Seguir los requisitos de triaje forense indicados en la guía de implementación BOD 26-04 de CISA para evaluar si el sistema ha sido comprometido antes de la aplicación del parche.
• Monitorización de integridad de ficheros (FIM): Activar o reforzar soluciones de monitorización de integridad de ficheros sobre el appliance/VM de SD-WAN Manager para detectar modificaciones no autorizadas en rutas críticas del sistema de ficheros.
• Revisar logs de acceso y API: Analizar los registros de acceso HTTP/HTTPS del SD-WAN Manager en busca de patrones de traversal de ruta (secuencias ../, %2e%2e%2f, %252e u otras variantes codificadas) en los parámetros de las solicitudes.
• Si la mitigación no está disponible: Conforme a las instrucciones de CISA y BOD 26-04, considerar la discontinuación del uso del producto o su aislamiento total de redes no confiables hasta que el parche esté disponible y aplicado.