Uma vulnerabilidade de alta gravidade no Cisco Catalyst SD-WAN Controller, identificada como CVE-2026-20127, está sendo explorada ativamente desde 2023. Essa falha permite que invasores remotos não autenticados obtenham privilégios administrativos ao enviar uma solicitação manipulada ao sistema afetado. A falha, que possui uma pontuação CVSS de 10.0, decorre de um problema no mecanismo de autenticação de peering.
O problema afeta várias configurações de implantação, incluindo ambientes geridos pela Cisco e ambientes FedRAMP. A exploração bem-sucedida permite que o invasor acesse e manipule a configuração de rede do SD-WAN. A Cisco reconheceu a contribuição do Australian Cyber Security Centre (ASD-ACSC) na identificação da vulnerabilidade.
A Cisco lançou atualizações para corrigir a falha em várias versões do Catalyst SD-WAN. A empresa recomenda que os usuários auditem o arquivo “/var/log/auth.log” para verificar acessos não autorizados e comparem os endereços IP registrados com os IPs configurados no sistema.
O grupo UAT-8616, descrito como uma ameaça cibernética sofisticada, tem explorado essa vulnerabilidade para comprometer sistemas SD-WAN desde 2023. A exploração inclui a criação de dispositivos falsos que se integram ao plano de gerenciamento da rede, permitindo ações maliciosas. Além disso, os invasores utilizam mecanismos internos para realizar downgrades de software e escalar privilégios.
A Agência de Segurança Cibernética e Infraestrutura (CISA) adicionou a CVE-2026-20127 ao seu catálogo de vulnerabilidades conhecidas, exigindo que agências federais apliquem correções rapidamente. A CISA também emitiu uma diretiva de emergência para inventariar dispositivos SD-WAN e avaliar possíveis compromissos.
Fonte:https://thehackernews.com/2026/02/cisco-sd-wan-zero-day-cve-2026-20127.html
