Las plataformas Cisco Catalyst SD-WAN están ampliamente desplegadas en empresas, gobiernos y proveedores de servicios, y a menudo sirven como infraestructura central que enlaza oficinas remotas, centros de datos y entornos en la nube. Debido a que estos controladores son a menudo accesibles desde redes externas para apoyar las operaciones distribuidas, representan un objetivo muy visible y atractivo para los actores de amenazas.

Cisco ha revelado una vulnerabilidad crítica de omisión de autenticación, CVE-2026-20127, que afecta tanto a Cisco Catalyst SD-WAN Controller (anteriormente vSmart) como a Cisco Catalyst SD-WAN Manager (anteriormente vManage). El fallo tiene una puntuación CVSS de 10.0, y permite a un atacante remoto no autenticado obtener acceso a nivel administrativo enviando peticiones falsificadas a un sistema expuesto.

La vulnerabilidad se debe a un fallo en el proceso de autenticación de pares SD-WAN, que rompe un mecanismo de confianza fundamental en el plano de control. Una vez explotada, un atacante puede iniciar sesión como usuario interno con privilegios elevados (no root) y utilizar NETCONF para manipular la configuración de la estructura SD-WAN.

Las agencias de seguridad de Estados Unidos, Reino Unido, Australia, Canadá y Nueva Zelanda han confirmado conjuntamente la explotación activa, con pruebas que demuestran que los actores de amenazas han estado abusando de este fallo desde al menos 2023. Cisco ha vinculado la actividad a un sofisticado grupo de intrusión conocido como UAT-8616.

CISA también ha añadido la CVE a su lista de vulnerabilidades explotadas conocidas (KEV), haciendo hincapié en su impacto operativo.

Productos afectados

La vulnerabilidad afecta a todos los tipos de despliegue de componentes Cisco Catalyst SD-WAN, independientemente de su configuración:

• Cisco Catalyst SD-WAN Controller (vSmart)
• Cisco Catalyst SD-WAN Manager (vManage)
• Instalaciones locales
• Nube SD-WAN alojada por Cisco
• Entornos de nube SD-WAN gestionados por Cisco y FedRAMP
• Acceder al sistema sin autenticación
• Inicie sesión como usuario interno con privilegios elevados
• Utilizar NETCONF para cambiar la configuración de SD-WAN
• Añadir pares SD-WAN fraudulentos
• Posicionarse para una mayor escalada de privilegios (por ejemplo, encadenamiento con CVE-2022-20775)
• Cisco ha confirmado una explotación limitada pero real de la vulnerabilidad.
• Las agencias de inteligencia informan de actividades de explotación que se remontan a 2023.
• El actor de la amenaza UAT-8616 ha utilizado la vulnerabilidad para añadir pares no autorizados y mantener el acceso a largo plazo.
• Múltiples centros nacionales de ciberseguridad han emitido alertas coordinadas y una Guía de Caza de Amenazas SD-WAN conjunta.
• 20.9.8.2
• 20.12.6.1
• 20.12.5.3
• 20.15.4.2
• 20.18.2.1
• Entradas sospechosas en /var/log/auth.log, especialmente:
• Accepted publickey for vmanage-admin from unknown IPs (Clave pública aceptada para vmanage-admin desde IP desconocida).
• Revisión de las listas de IP del sistema de dispositivos de SD-WAN Manager en busca de cambios inesperados
• Colocar los componentes de gestión y control detrás de cortafuegos perimetrales estrictos
• Aislar las interfaces VPN 512
• Restringir las IP de dispositivos de borde aprovisionados manualmente
• Sustituir certificados autofirmados
• Reenviar registros a syslog remoto

Aplicable a:

No hay soluciones y es necesario aplicar parches.

Resumen técnico

Qué puede hacer el atacante

Al explotar el mecanismo de autenticación de peering roto, un atacante puede:

Debido a que SD-WAN se encuentra en el corazón del enrutamiento empresarial distribuido, el acceso no autorizado en esta capa da a los atacantes una profunda visibilidad y control sobre los sitios conectados.

Estado de la explotación

Versiones de software corregidas

Cisco ha publicado actualizaciones para las principales versiones de software SD-WAN. Los usuarios afectados deben actualizar a versiones parcheadas como:

(depende de la rama de software actual)

Los dispositivos que ejecuten versiones anteriores a la 20.9.1 deben migrar a una versión corregida.

Acciones recomendadas

1. Parchear inmediatamente

Aplique sin demora la actualización adecuada proporcionada por Cisco. No se admiten soluciones provisionales.

2. Realice una búsqueda selectiva de amenazas

Los organismos nacionales recomiendan recopilar instantáneas, comprobar los registros y revisar los indicadores de peligro. Los elementos clave incluyen:

• Entradas sospechosas en /var/log/auth.log, especialmente:
• Clave pública aceptada para vmanage-admin desde IP desconocidas.
• Revisión de las listas de IP del sistema de dispositivos de SD-WAN Manager en busca de cambios inesperados

3. Fortalecer la exposición de la gestión de SD-WAN

Siga las directrices de endurecimiento de SD-WAN de Cisco:

• Colocar los componentes de gestión y control detrás de cortafuegos perimetrales estrictos
• Aísle las interfaces VPN 512
• Restrinja las IP de los dispositivos de borde proporcionados manualmente
• Sustituya los certificados autofirmados
• Reenvíe los registros a syslog remoto

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuentas o, alternativamente,póngaseen contacto con nosotrosparaaveriguar cómo puede proteger su organización.