Una falla de seguridad de máxima gravedad recientemente revelada en Cisco Catalyst SD-WAN Controller (anteriormente vSmart) y Catalyst SD-WAN Manager (anteriormente vManage) ha sido objeto de explotación activa en la naturaleza como parte de una actividad maliciosa que se remonta a 2023.
La vulnerabilidad, rastreada como CVE-2026-20127 (Puntuación CVSS: 10.0), permite a un atacante remoto no autenticado eludir la autenticación y obtener privilegios administrativos en el sistema afectado enviando una solicitud diseñada a un sistema afectado.
La explotación exitosa de la falla podría permitir al adversario obtener privilegios elevados en el sistema como una cuenta de usuario interna, no root y con altos privilegios.
«Esta vulnerabilidad existe porque el mecanismo de autenticación de peering en un sistema afectado no funciona correctamente», dijo Cisco en un aviso, agregando que el actor de la amenaza podría aprovechar la cuenta de usuario no root para acceder a NETCONF y manipular la configuración de red para la estructura SD-WAN.
La deficiencia afecta a los siguientes tipos de implementación, independientemente de la configuración del dispositivo:
- Implementación local
- Nube SD-WAN alojada en Cisco
- Nube SD-WAN alojada en Cisco: administrada por Cisco
- Nube SD-WAN alojada en Cisco: entorno FedRAMP
Cisco le dio crédito al Centro Australiano de Seguridad Cibernética (ASD-ACSC) de la Dirección Australiana de Señales por informar sobre la vulnerabilidad. El especialista en equipos de redes está rastreando la explotación y la posterior actividad posterior al compromiso bajo el nombre de UAT-8616, y describe el clúster como un «actor de amenazas cibernéticas altamente sofisticado».
La vulnerabilidad se ha solucionado en las siguientes versiones de Cisco Catalyst SD-WAN:
- Antes de la versión 20.91: migre a una versión fija.
- Versión 20.9 – 20.9.8.2 (lanzamiento estimado para el 27 de febrero de 2026)
- Versión 20.111 – 20.12.6.1
- Versión 20.12.5 – 20.12.5.3
- Versión 20.12.6 – 20.12.6.1
- Versión 20.131 – 20.15.4.2
- Versión 20.141 – 20.15.4.2
- Versión 20.15 – 20.15.4.2
- Versión 20.161 – 20.18.2.1
- Versión 20.18 – 20.18.2.1
«Los sistemas Cisco Catalyst SD-WAN Controller que están expuestos a Internet y que tienen puertos expuestos a Internet corren el riesgo de verse comprometidos», advirtió Cisco.
La compañía también recomendó a los clientes que auditen el archivo «/var/log/auth.log» en busca de entradas relacionadas con la «Clave pública aceptada para vmanage-admin» de direcciones IP desconocidas o no autorizadas. También se recomienda verificar las direcciones IP en el archivo de registro auth.log con las IP del sistema configuradas que se enumeran en la interfaz de usuario web de Cisco Catalyst SD-WAN Manager (WebUI > Dispositivos > IP del sistema).
Según la información publicada por ASD-ACSC, se dice que UAT-8616 ha comprometido las SD-WAN de Cisco desde 2023 a través del exploit de día cero, lo que le permite obtener un acceso elevado.
«La vulnerabilidad permitió a un actor cibernético malicioso crear un par deshonesto unido al plano de gestión de red, o plano de control, de la SD-WAN de una organización», dijo ASD-ACSC. «El dispositivo fraudulento aparece como un componente SD-WAN nuevo pero temporal, controlado por un actor, que puede realizar acciones confiables dentro del plano de gestión y control».
Después de comprometer con éxito una aplicación pública, se descubrió que los atacantes aprovechan el mecanismo de actualización incorporado para realizar una degradación de la versión del software y escalarla al usuario raíz explotando CVE-2022-20775 (puntuación CVSS: 7,8), un error de escalada de privilegios de alta gravedad en la CLI del software Cisco SD-WAN, y luego restaurar el software a la versión que se estaba ejecutando originalmente.
Algunos de los pasos posteriores iniciados por el actor de amenazas son los siguientes:
- Creé cuentas de usuarios locales que imitaban otras cuentas de usuarios locales.
- Se agregó una clave autorizada del Protocolo Secure Shell (SSH) para acceso raíz y se modificaron los scripts de inicio relacionados con SD-WAN para personalizar el entorno.
- Se utilizó el protocolo de configuración de red en el puerto 830 (NETCONF) y SSH para conectarse a/entre dispositivos Cisco SD-WAN dentro del plano de administración.
- Se tomaron medidas para eliminar la evidencia de la intrusión eliminando los registros en «/var/log», el historial de comandos y el historial de conexiones de red.
«El intento de explotación de UAT-8616 indica una tendencia continua de apuntar a dispositivos de borde de red por parte de actores de amenazas cibernéticas que buscan establecer puntos de apoyo persistentes en organizaciones de alto valor, incluidos los sectores de infraestructura crítica (CI)», dijo Talos.
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) a agregar CVE-2022-20775 y CVE-2026-20127 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), obligando a las agencias del Poder Ejecutivo Civil Federal (FCEB) a aplicar las correcciones dentro de las próximas 24 horas.
Para comprobar si hay una degradación de la versión y eventos de reinicio inesperados, CISA recomienda analizar los siguientes registros:
- /var/volatile/log/vdebug
- /var/log/tmplog/vdebug
- /var/volatile/log/sw_script_synccdb.log
CISA también ha emitido una nueva directiva de emergencia, 26-03: Mitigar las vulnerabilidades en los sistemas Cisco SD-WAN, como parte de la cual las agencias federales deben inventariar los dispositivos SD-WAN, aplicar actualizaciones y evaluar posibles compromisos.
Con ese fin, se ordenó a las agencias que proporcionen un catálogo de todos los sistemas SD-WAN incluidos en sus redes antes del 26 de febrero de 2026 a las 11:59 p. m., hora del Este. Además, deben enviar un inventario detallado de todos los productos incluidos y las acciones tomadas antes del 5 de marzo de 2026 a las 11:59 p. m., hora del Este. Por último, las agencias deberán presentar la lista de todos los pasos tomados para reforzar sus entornos antes del 26 de marzo de 2026 a las 11:59 p. m., hora del Este.