Se han publicado nuevas vulnerabilidades de seguridad de severidad alta y crítica que afectan a componentes clave de la plataforma Cisco Catalyst SD-WAN (anteriormente SD-WAN vSmart y vManage), incluidas fallas que han sido explotadas activamente en el mundo real desde 2023. Estas vulnerabilidades, descritas en múltiples fuentes técnicas y consejos de seguridad de agencias como CISA, representan un riesgo significativo para entornos de SD-WAN mal parcheados o expuestos.
Análisis
La principal vulnerabilidad, CVE-2026-20127, se clasifica como crítica (CVSS 10.0) y permite a un atacante bypassear mecanismos de autenticación remota en los controladores Cisco Catalyst SD-WAN Controller y Manager enviando solicitudes especialmente crafted.
La explotación de esta falla permite iniciar sesión como un usuario con privilegios elevados y manipular configuraciones de red a través de NETCONF, lo que puede conducir al control total de la infraestructura de SD-WAN. Seguimiento de inteligencia indica que este fallo ha sido explotado activamente desde al menos 2023 por un actor sofisticado apodado UAT-8616, que además ha utilizado técnicas avanzadas como downgrade de firmware para obtener acceso root persistente.
Recursos afectados
-
-
-
Cisco Catalyst SD-WAN Controller (antes vSmart) – interfaces de autenticación y peering.
-
Cisco Catalyst SD-WAN Manager (antes vManage) – API de gestión, acceso a configuración y servicios de red.
-
Despliegues on-premise y en entornos Cisco Hosted SD-WAN Cloud, incluidas instalaciones con FedRAMP.
-
-
Recomendaciones
-
-
-
Actualizar inmediatamente todas las instancias de Cisco Catalyst SD-WAN Controller y Manager a las versiones parcheadas indicadas en los avisos de seguridad.
-
Revisar inventario de SD-WAN y asegurar que no existen interfaces de administración expuestas directamente a Internet.
-
Aplicar guías de endurecimiento (hardening) publicadas por Cisco y agencias de ciberseguridad (incluida CISA).
-
Analizar logs y eventos históricos en busca de indicadores de compromiso, especialmente actividades inusuales de peering, cuentas nuevas o accesos no autorizados.
-
Aislar o desconectar dispositivos sospechosos hasta comprobar su integridad y ausencia de compromisos.
-
Implementar recopilación externa de logs para evitar su manipulación interna.
-
-
Referencias
-
-
- https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk
- https://blog.talosintelligence.com/uat-8616-sd-wan/
- https://www.cisa.gov/news-events/alerts/2026/02/25/cisa-and-partners-release-guidance-ongoing-global-exploitation-cisco-sd-wan-systems
- https://cyberscoop.com/cisco-zero-days-cisa-emergency-directive-five-eyes/
- https://www.helpnetsecurity.com/2026/02/25/cisco-sd-wan-zero-day-cve-2026-20127/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v
-
Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.
Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271)