Cisco ha publicado correcciones para un zero-day crítico en Catalyst SD-WAN ( CVE-2026-20127 ) que permitiría a un atacante remoto, sin credenciales, saltarse la autenticación y obtener acceso con privilegios administrativos. Según los informes, la vulnerabilidad habría sido explotada activamente desde 2023, y no hay mitigaciones temporales alternativas a actualizar.
Cisco ha divulgado una vulnerabilidad crítica catalogada como zero-day en componentes clave de Catalyst SD-WAN, identificada como CVE-2026-20127 y puntuada con CVSS 10.0. El problema afecta al plano de gestión y control del entorno SD-WAN, concretamente a Cisco Catalyst SD-WAN Controller (antes vSmart) y Cisco Catalyst SD-WAN Manager (antes vManage). La gravedad viene dada por un escenario especialmente dañino: un atacante remoto no autenticado podría realizar un bypass de autenticación mediante una solicitud manipulada y acabar con privilegios administrativos en el sistema, sin necesidad de credenciales válidas.
De acuerdo con la información publicada, el fallo estaría relacionado con el mecanismo de autenticación usado para el ‘peering‘, que no validaría correctamente determinados intercambios. Esto abriría la puerta a acceder a interfaces de gestión como NETCONF (habitualmente en el puerto 830) y, desde ahí, modificar configuraciones que afectan al funcionamiento de la malla SD-WAN. Aunque el acceso obtenido se describe como una cuenta interna de alto privilegio (no necesariamente root de forma directa), el impacto práctico puede ser muy alto, porque permite actuar sobre políticas, dispositivos y rutas gestionadas desde el plano central.
Un aspecto especialmente preocupante es que la explotación habría ocurrido en el mundo real desde 2023, y se ha vinculado el seguimiento de la actividad a un identificador de campaña (UAT-8616). Se ha descrito un patrón de compromiso en el que los atacantes podrían crear un ‘rogue peer‘ para integrarse en el plano de gestión/control, y después realizar acciones de post-explotación orientadas a persistencia y ocultación. Entre los indicios citados figuran la creación de cuentas locales que imitan nombres legítimos, la inserción de claves SSH autorizadas para root, modificaciones en scripts de arranque, movimientos laterales mediante SSH y NETCONF, y tentativas de borrado de huellas mediante purgas de /var/log o historiales.
Además, se menciona el posible uso combinado con un CVE previo, CVE-2022-20775 (relacionado con la CLI de Cisco SD-WAN Software), para escalar privilegios: los atacantes habrían aprovechado el mecanismo integrado de actualización para hacer downgrade a versiones vulnerables, explotar para elevar a root, y después restaurar la versión original, dificultando el análisis forense.
Cisco indica que no hay ‘workaround’, por lo que la respuesta prioritaria pasa por actualizar o migrar a versiones corregidas según la rama. También se recomienda priorizar cualquier Catalyst SD-WAN Controller expuesto a Internet y revisar registros: por ejemplo, inspeccionar /var/log/auth.log buscando accesos tipo ‘Accepted publickey for vmanage-admin‘ desde IPs no autorizadas, y contrastarlos con los System IP esperados. Para caza de señales de degradaciones de versión o reinicios anómalos, conviene revisar trazas como /var/volatile/log/vdebug, /var/log/tmplog/vdebug y /var/volatile/log/sw_script_synccdb.log. En paralelo, si existe sospecha razonable, es clave validar integridad, revisar cambios en cuentas y llaves, y asumir que podría haber habido manipulación de logs.
Por último, el hecho de que CISA haya incorporado CVE-2026-20127 y CVE-2022-20775 a su catálogo KEV y haya emitido una directiva de emergencia refuerza la urgencia: incluso fuera de entornos gubernamentales, es una señal clara de explotación activa y de riesgo elevado para organizaciones con despliegues SD-WAN ampliamente conectados.
Más información
- The Hacker News: https://thehackernews.com/2026/02/cisco-sd-wan-zero-day-cve-2026-20127.html?utm_source=openai
Deja una respuesta