Cisco alerta sobre dos nuevas vulnerabilidades explotadas en Catalyst SD-WAN

💡 Resumen (TL;DR):

• Cisco confirmó la explotación activa de dos fallas adicionales de seguridad en su plataforma Catalyst SD-WAN Manager.
• Los errores requieren la actualización inmediata a la versión 20.18 o superior, ya que no existen medidas alternativas de mitigación.
• CISA emitió una directiva de emergencia exigiendo a las agencias federales mitigar estas brechas aprovechadas por un grupo patrocinado por un Estado.

El 4 de marzo, Cisco actualizó su aviso de seguridad para confirmar que atacantes informáticos explotan activamente dos nuevas vulnerabilidades en su plataforma Catalyst SD-WAN Manager. Esta crisis escaló rápidamente tras la revelación, a finales de febrero, de una falla crítica que permitía eludir la autenticación del sistema.

“En marzo de 2026, el Cisco PSIRT tuvo conocimiento de la explotación activa de las vulnerabilidades que se describen en CVE-2026-20128 y CVE-2026-20122 únicamente”, declaró la compañía en su reporte actualizado. Además, agregó que “las vulnerabilidades que se describen en los otros CVE de este aviso no se sabe que hayan sido comprometidas”.

CVE-2026-20122 es una falla de sobrescritura de archivos en la API de SD-WAN Manager que permite a un atacante remoto con credenciales de solo lectura subir archivos maliciosos y obtener privilegios elevados de usuario vmanage.

Por su parte, el CVE-2026-20128 es una vulnerabilidad de divulgación de información de gravedad media, vinculada a credenciales preconfiguradas en la función Data Collection Agent, la cual permite escalar privilegios y moverse lateralmente por los nodos de la red.

Ambas brechas de seguridad afectan a las versiones de Catalyst SD-WAN Manager anteriores a la 20.18. Cisco advirtió de manera contundente que no existen soluciones provisionales; instalar el parche de software es el único método para proteger los equipos.

Sofisticación del ataque y respuesta de emergencia

Estos nuevos hallazgos agravan el impacto del CVE-2026-20127, una vulnerabilidad con calificación perfecta de severidad (CVSS 10.0) reportada el 25 de febrero. Los investigadores de Cisco Talos atribuyen las intrusiones a UAT-8616, un sofisticado grupo de amenazas patrocinado por un Estado que opera desde al menos 2023.

La cadena de ataque descubierta destaca por su alto rigor operativo. Los hackers utilizaron la falla inicial para inyectar componentes fraudulentos en las redes SD-WAN y luego ejecutaron un downgrade de firmware deliberado. Esto reactivó un antiguo bug de 2022 (CVE-2022-20775) que les otorgó acceso root. Tras lograr su objetivo, restauraron el software parcheado y eliminaron los logs y el historial de comandos para borrar sus huellas.

Ante la severidad de las intrusiones, CISA emitió la Directiva de Emergencia 26-03 exigiendo a las agencias civiles federales aplicar medidas críticas de contención:

• Realizar inventarios completos de la infraestructura SD-WAN de Cisco.
• Recolectar evidencia forense, incluyendo capturas virtuales y registros del sistema.
• Aislar las interfaces de administración SD-WAN en redes VLAN internas.
• Configurar firewalls con listas de permitidos (allowlist) exclusivas para IPs conocidas.
• Limitar los tiempos de inactividad de las sesiones a cinco minutos máximo.

La capacidad de los atacantes para comprometer profundamente los planos de control y administración de la red obliga a los administradores a ejecutar cacerías activas de amenazas. La simple instalación del parche no elimina a los hackers si ya lograron anclarse dentro del entorno informático.