S’han publicat noves vulnerabilitats de seguretat de severitat alta i crítica que afecten components clau de la plataforma Cisco Catalyst SD-WAN (anteriorment, SD-WAN vSmart i vManage), incloses fallades que han sigut explotades activament en el món real des de 2023. Estes vulnerabilitats, descrites en múltiples fonts tècniques i consells de seguretat d’agències com CISA, representen un risc significatiu per a entorns d’SD-WAN mal apedaçats o exposats.
Anàlisi
La principal vulnerabilitat, CVE-2026-20127, es classifica com a crítica (CVSS 10.0) i permet a un atacant ometre mecanismes d’autenticació remota en els controladors Cisco Catalyst SD-WAN Controller i Manager enviant sol·licituds especialment crafted.
L’explotació d’esta fallada permet iniciar sessió com un usuari amb privilegis elevats i manipular configuracions de xarxa a través de NETCONF, la qual cosa pot conduir al control total de la infraestructura d’SD-WAN. Seguiment d’intel·ligència indica que esta fallada ha sigut explotada activament almenys des de 2023 per un actor sofisticat sobrenomenat UAT-8616, que a més ha utilitzat tècniques avançades com downgrade de microprogramari per a obtindre accés root persistent.
L’explotació d’esta fallada permet iniciar sessió com un usuari amb privilegis elevats i manipular configuracions de xarxa a través de NETCONF, la qual cosa pot conduir al control total de la infraestructura d’SD-WAN. Seguiment d’intel·ligència indica que esta fallada ha sigut explotada activament almenys des de 2023 per un actor sofisticat sobrenomenat UAT-8616, que a més ha utilitzat tècniques avançades com downgrade de microprogramari per a obtindre accés root persistent.
Recursos afectats
- Cisco Catalyst SD-WAN Controller (abans vSmart) – interfícies d’autenticació i peering.
- Cisco Catalyst SD-WAN Manager (abans vManage) – API de gestió, accés a configuració i servicis de xarxa.
- Desplegaments on-premise i en entorns Cisco Hosted SD-WAN Cloud, incloses instal·lacions amb FedRAMP.
Recomanacions
- Actualitzar immediatament totes les instàncies de Cisco Catalyst SD-WAN Controller i Manager a les versions apedaçades indicades en els avisos de seguretat.
- Revisar inventari d’SD-WAN i assegurar que no existixen interfícies d’administració exposades directament a Internet.
- Aplicar guies d’enduriment (hardening) publicades per Cisco i agències de ciberseguretat (inclosa CISA).
- Analitzar logs i esdeveniments històrics a la recerca d’indicadors de compromís, especialment activitats inusuals de peering, comptes nous o accessos no autoritzats.
- Aïllar o desconnectar dispositius sospitosos fins a comprovar-ne la integritat i absència de compromisos.
- Implementar recopilació externa de logs per a evitar-ne la manipulació interna.
Referències
- https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk
- https://blog.talosintelligence.com/uat-8616-sd-wan/
- https://www.cisa.gov/news-events/alerts/2026/02/25/cisa-and-partners-release-guidance-ongoing-global-exploitation-cisco-sd-wan-systems
- https://cyberscoop.com/cisco-zero-days-cisa-emergency-directive-five-eyes/
- https://www.helpnetsecurity.com/2026/02/25/cisco-sd-wan-zero-day-cve-2026-20127/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v
Finalment, et convidem a compartir este butlletí amb els teus afins per a fomentar i difondre una Cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.
Si tens cap inquietud sobre ciberseguretat o necessitat de formació en esta àrea, visita les nostres webs. Trobaràs consells, cursos en línia, informes i molt més contingut: https://www.csirtcv.gva.es/ i https://concienciat.gva.es/ i seguix-nos en les nostres xarxes socials: Facebook (CSIRT-CV), X (@csirtcv) i YouTube (@csirt-cv6271)