CIBERPLANETA_
🟠 SEVERIDAD ALTA 20 Abr 2026 20:46

Alerta de Seguridad: Vulnerabilidad en el Almacenamiento de Contraseñas en Cisco Catalyst SD-WAN Manager (CVE-2026-20128)

cve cisco catalyst-sd-wan-manager ioc
Alerta de Seguridad: Vulnerabilidad en el Almacenamiento de Contraseñas en Cisco Catalyst SD-WAN Manager (CVE-2026-20128)

// resumen_ejecutivo

Cisco Catalyst SD-WAN Manager presenta una vulnerabilidad CWE-257 que permite a un atacante local autenticado acceder a credenciales recuperables, elevando privilegios a usuario DCA. CVSS 7.5 (Alta). Mitigar según ED 26-03 de CISA.

// descripcion_detallada

La vulnerabilidad CVE-2026-20128 afecta a Cisco Catalyst SD-WAN Manager, un componente clave en entornos de red definida por software (SD-WAN). Clasificada bajo CWE-257 (Storing Passwords in a Recoverable Format), esta falla implica el almacenamiento de contraseñas en formato recuperable en el sistema de archivos. Un atacante autenticado con privilegios bajos puede explotarla accediendo directamente al archivo de credenciales del usuario DCA, lo que permite la recuperación de credenciales y la escalada de privilegios a nivel DCA sin autenticación adicional.

El exploit funciona mediante la lectura directa del archivo en el filesystem, aprovechando la falta de cifrado adecuado o protecciones de acceso. El impacto potencial incluye la compromisión total del sistema SD-WAN, permitiendo manipulación de configuraciones de red, ejecución de comandos privilegiados y posible propagación a otros dispositivos Cisco en la red. Según el advisory de Cisco, esta vulnerabilidad ha sido observada en entornos productivos y podría facilitar ataques de ransomware o persistencia interna.

// vectores_de_ataque

Escalada de privilegios local (LPE): Requiere acceso autenticado local con privilegios bajos para leer el archivo de credenciales en el filesystem, permitiendo elevación a privilegios DCA sin explotación remota.

// indicadores_de_compromiso 1 tipo

CVEs (1)
CVE-2026-20128

// recomendaciones_de_mitigacion

  • Actualizar inmediatamente a versiones parcheadas de Cisco Catalyst SD-WAN Manager según el advisory oficial de Cisco (https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v), que detalla versiones afectadas y parches disponibles.
  • Seguir las directivas de CISA ED 26-03 para mitigar vulnerabilidades en sistemas Cisco SD-WAN: evaluar exposición, aplicar configuraciones de endurecimiento y cazar amenazas (https://www.cisa.gov/news-events/directives/ed-26-03-mitigate-vulnerabilities-cisco-sd-wan-systems).
  • Implementar la guía de caza y endurecimiento de CISA para dispositivos Cisco SD-WAN, incluyendo monitoreo de accesos al filesystem y restricción de privilegios locales (https://www.cisa.gov/news-events/directives/supplemental-direction-ed-26-03-hunt-and-hardening-guidance-cisco-sd-wan-systems).
  • Cumplir con BOD 22-01 para servicios en la nube o discontinuar el uso si no se aplican mitigaciones; verificar detalles en NVD (https://nvd.nist.gov/vuln/detail/CVE-2026-20128).
  • Monitorear IOCs relacionados en SIEM y restringir accesos locales no autorizados hasta la aplicación de parches.

// referencias_externas

[INFO] CVE-2024-27199: Vulnerabilidad de Path Traversal en JetBrains TeamCity Explotada  ·  [INFO] CVE-2026-20133: Vulnerabilidad en Cisco Catalyst SD-WAN Manager Explotada Activamente  ·  [INFO] CVE-2026-20128: Vulnerabilidad Crítica en Cisco SD-WAN Manager y su Explotación Activa  ·  [INFO] CVE-2026-20122: Vulnerabilidad Crítica en Cisco Catalyst SD-WAN Manager Explotada Activamente  ·  [INFO] CVE-2025-32975: Vulnerabilidad Crítica de Autenticación en Quest KACE SMA  ·  [INFO] CVE-2024-27199: Vulnerabilidad de Path Traversal en JetBrains TeamCity Explotada  ·  [INFO] CVE-2026-20133: Vulnerabilidad en Cisco Catalyst SD-WAN Manager Explotada Activamente  ·  [INFO] CVE-2026-20128: Vulnerabilidad Crítica en Cisco SD-WAN Manager y su Explotación Activa  ·  [INFO] CVE-2026-20122: Vulnerabilidad Crítica en Cisco Catalyst SD-WAN Manager Explotada Activamente  ·  [INFO] CVE-2025-32975: Vulnerabilidad Crítica de Autenticación en Quest KACE SMA  ·