Alerta de Seguridad: Vulnerabilidad de Bypass de Autenticación en Cisco Catalyst SD-WAN Controller and Manager (CVE-2026-20127)

La vulnerabilidad CVE-2026-20127 reside en el mecanismo de autenticación de peering de Cisco Catalyst SD-WAN Controller (anteriormente vSmart) y Manager (anteriormente vManage), que no funciona correctamente. Un atacante remoto no autenticado puede explotarla enviando solicitudes manipuladas (crafted requests) al sistema afectado, bypassando la autenticación y obteniendo acceso como un usuario interno de alto privilegio no root. Esto permite el login al Controller y el acceso al servicio NETCONF, facilitando la manipulación de la configuración de la red SD-WAN fabric. El impacto potencial incluye control total sobre la infraestructura de red, exposición de datos sensibles y disrupción operativa, especialmente en entornos federales o críticos.

• Adherir inmediatamente a la Directiva de Emergencia CISA ED 26-03 y su guía de caza y endurecimiento para dispositivos Cisco SD-WAN.
• Aplicar mitizaciones del Advisory de Cisco: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk, que incluye actualizaciones de software y configuraciones de seguridad para versiones afectadas (consultar advisory para detalles específicos).
• Evaluar exposición según BOD 22-01 para servicios en la nube; discontinuar uso si no se aplican mitizaciones.
• Monitorear logs de autenticación y accesos NETCONF; aislar sistemas afectados hasta parcheado.
• Fecha límite FCEB: 2026-02-27.