Cisco ha lanzado actualizaciones para abordar una falla de omisión de autenticación de máxima gravedad en el controlador Catalyst SD-WAN que, según dijo, ha sido explotada en ataques limitados.
La vulnerabilidad, rastreada como CVE-2026-20182tiene una puntuación CVSS de 10,0.
«Una vulnerabilidad en la autenticación de peering en Cisco Catalyst SD-WAN Controller, anteriormente SD-WAN vSmart, y Cisco Catalyst SD-WAN Manager, anteriormente SD-WAN vManage, podría permitir que un atacante remoto no autenticado evite la autenticación y obtenga privilegios administrativos en un sistema afectado», dijo Cisco.
El especialista en equipos de redes dijo que la falla se debe a un mal funcionamiento del mecanismo de autenticación de peering, que un atacante podría explotar enviando solicitudes manipuladas al sistema afectado.
Un exploit exitoso podría permitir al atacante iniciar sesión en el controlador Cisco Catalyst SD-WAN como una cuenta de usuario interna, con altos privilegios y no root, y luego utilizarlo como arma para acceder a NETCONF y manipular la configuración de red para la estructura SD-WAN.
La vulnerabilidad afecta las siguientes implementaciones:
- Implementación local
- Cisco SD-WAN Cloud-Pro
- Nube Cisco SD-WAN (administrada por Cisco)
- Cisco SD-WAN para gobierno (FedRAMP)
Según Rapid7, que descubrió CVE-2026-20182, la deficiencia tiene sus ecos en CVE-2026-20127 (puntaje CVSS: 10.0), otra omisión de autenticación crítica que afecta al mismo componente. Se dice que este último ha sido explotado por un actor de amenazas llamado UAT-8616 desde al menos 2023.
«Esta nueva vulnerabilidad de omisión de autenticación afecta al servicio ‘vdaemon’ a través de DTLS (puerto UDP 12346), que es el mismo servicio que era vulnerable a CVE-2026-20127», dijeron los investigadores de Rapid7, Jonah Burgess y Stephen Fewer. «La nueva vulnerabilidad no es una omisión del parche CVE-2026-20127. Es un problema diferente ubicado en una parte similar de la pila de red ‘vdaemon'».
Dicho esto, el resultado final es el mismo: un atacante remoto no autenticado puede abusar de CVE-2026-20182 para convertirse en un par autenticado del dispositivo objetivo y realizar operaciones privilegiadas.
Cisco, en su aviso, señaló que se dio cuenta de una «explotación limitada» de la falla en mayo de 2026, e instó a los clientes a aplicar las últimas actualizaciones lo antes posible.
La compañía también dijo que los sistemas Catalyst SD-WAN Controller a los que se puede acceder a través de Internet y que tienen puertos expuestos corren un mayor riesgo de verse comprometidos. Se recomienda a los clientes que auditen el archivo «/var/log/auth.log» en busca de entradas relacionadas con la clave pública aceptada para vmanage-admin de direcciones IP desconocidas o no autorizadas.
Otro indicador es la presencia de eventos de intercambio de tráfico sospechosos en los registros, incluidas conexiones de intercambio de tráfico no autorizadas que ocurren en momentos inesperados y se originan en direcciones IP no reconocidas, o involucran tipos de dispositivos que no son consistentes con la arquitectura del entorno.