Las fallas de seguridad de máxima gravedad recientemente reveladas en Cisco Catalyst SD-WAN Controller (anteriormente vSmart) y Catalyst SD-WAN Manager (anteriormente vManage) se han explotado en la naturaleza como parte de una actividad maliciosa que se remonta a 2023.
Esta vulnerabilidad, registrada como CVE-2026-20127 (puntaje CVSS: 10.0), permite a un atacante remoto no autenticado eludir la autenticación y obtener privilegios administrativos en un sistema afectado enviando una solicitud diseñada al sistema afectado.
La explotación exitosa de esta falla podría permitir a un adversario obtener privilegios elevados en el sistema como una cuenta de usuario interno no root con privilegios elevados.
«Esta vulnerabilidad existe porque el mecanismo de autenticación de pares en el sistema afectado no funciona correctamente», dijo Cisco en un aviso, y agregó que un atacante podría aprovechar una cuenta de usuario no root para acceder a NETCONF y manipular la configuración de red de la estructura SD-WAN.
Este inconveniente afecta a los siguientes tipos de implementación, independientemente de la configuración del dispositivo:
Implementación local Nube SD-WAN alojada en Cisco Nube SD-WAN alojada en Cisco – Nube SD-WAN alojada en Cisco administrada – Entorno FedRAMP
Cisco confirmó que la Dirección de Señales de Australia-Centro Australiano de Seguridad Cibernética (ASD-ACSC) informó sobre la vulnerabilidad. El gigante de los equipos de redes describe el clúster como un «actor de ciberamenazas altamente sofisticado» y está rastreando el exploit y la posterior actividad posterior a la infracción con el nombre UAT-8616.
Esta vulnerabilidad se resuelve en las siguientes versiones de Cisco Catalyst SD-WAN:
Versiones anteriores a la 20.91: migre para corregir la versión. Versión 20.9 – 20.9.8.2 (fecha de lanzamiento prevista para el 27 de febrero de 2026) Versión 20.111 – 20.12.6.1 Versión 20.12.5 – 20.12.5.3 Versión 20.12.6 – 20.12.6.1 Versión 20.131 – 20.15.4.2 20.141 – 20.15.4.2 Versión 20.15 – 20.15.4.2 Versión 20.161 – 20.18.2.1 Versión 20.18 – 20.18.2.1
«Los sistemas de controlador Cisco Catalyst SD-WAN con puertos expuestos a Internet corren el riesgo de verse comprometidos», advierte Cisco.
La compañía también recomienda a los clientes auditar el archivo «/var/log/auth.log» en busca de entradas relacionadas con la «clave pública autorizada de vmanage-admin» de direcciones IP desconocidas o no autorizadas. También recomendamos verificar la dirección IP en el archivo de registro auth.log con la IP del sistema configurado que aparece en la interfaz de usuario web de Cisco Catalyst SD-WAN Manager (WebUI > Dispositivo > IP del sistema).
Según la información publicada por ASD-ACSC, UAT-8616 ha podido infiltrarse en Cisco SD-WAN y obtener acceso elevado desde 2023 a través de un exploit de día cero.
«Esta vulnerabilidad permitió a un ciberatacante malicioso crear un par deshonesto que se conecta al plano de control o gestión de la red SD-WAN de una organización», dijo ASD-ACSC. «Un dispositivo fraudulento aparece como un componente SD-WAN nuevo, pero efímero, controlado por el adversario que puede realizar acciones confiables dentro de los planos de gestión y control».
Después de comprometer con éxito una aplicación pública, se descubrió que los atacantes aprovechaban el mecanismo de actualización incorporado para degradar gradualmente la versión del software, explotando CVE-2022-20775 (puntuación CVSS: 7,8), un error de escalada de privilegios de alta gravedad en la CLI del software Cisco SD-WAN, para escalar al usuario raíz y restaurar el software a la versión que se estaba ejecutando originalmente.
Algunos de los pasos posteriores iniciados por los actores de amenazas son:
Creé una cuenta de usuario local que imita otras cuentas de usuario locales. Se agregaron claves de autenticación del Protocolo Secure Shell (SSH) para acceso raíz y se modificaron los scripts de inicio relacionados con SD-WAN para personalizar el entorno. Conéctese hacia y desde el dispositivo Cisco SD-WAN en el plano de administración mediante protocolos de configuración de red y SSH en el puerto 830 (NETCONF). Tomamos medidas para eliminar la evidencia de la intrusión borrando los registros en ‘/var/log’, el historial de comandos y el historial de conexiones de red.
«El intento de explotación de UAT-8616 demuestra la tendencia continua de atacar dispositivos de borde de red por parte de ciberatacantes que buscan establecer un punto de apoyo duradero en organizaciones de alto valor, incluido el sector de infraestructura crítica (CI)», dijo Talos.
Debido a este desarrollo, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha agregado CVE-2022-20775 y CVE-2026-20127 a su Catálogo de vulnerabilidades explotadas conocidas (KEV), lo que exige que las agencias del poder ejecutivo civil federal (FCEB) apliquen correcciones dentro de las próximas 24 horas.
Para comprobar si hay degradaciones de versión o eventos de reinicio inesperados, CISA recomienda analizar los siguientes registros:
/var/volatile/log/vdebug /var/log/tmplog/vdebug /var/volatile/log/sw_script_synccdb.log
CISA también emitió una nueva directiva de emergencia, 26-03: Mitigación de vulnerabilidades en los sistemas Cisco SD-WAN, que requiere que las agencias federales hagan un inventario de los dispositivos SD-WAN, apliquen actualizaciones y evalúen el potencial de compromiso.
Con este fin, se ordena a las agencias que proporcionen un catálogo de todos los sistemas SD-WAN elegibles en sus redes antes del 26 de febrero de 2026 a las 11:59 p.m., hora del Este. Además, se debe enviar un inventario detallado de todos los productos afectados y las acciones tomadas antes del 5 de marzo de 2026 a las 11:59 p. m., hora del Este. Finalmente, las agencias deben enviar una lista de todas las acciones que han tomado para mejorar el medio ambiente antes del 26 de marzo de 2026 a las 11:59 p. m., hora del Este.
Source link
