Cisco ha lanzado una actualización que soluciona una falla de omisión de autenticación de máxima gravedad en los controladores Catalyst SD-WAN que, según anunció, fue explotada en un ataque limitado.
Esta vulnerabilidad se rastrea como CVE-2026-20182 y tiene una puntuación CVSS de 10,0.
«Una vulnerabilidad en la autenticación de pares para Cisco Catalyst SD-WAN Controller (anteriormente SD-WAN vSmart) y Cisco Catalyst SD-WAN Manager (anteriormente SD-WAN vManage) podría permitir que un atacante remoto no autenticado evite la autenticación y obtenga privilegios administrativos en un sistema afectado», dijo Cisco.
El gigante de equipos de redes dijo que la falla se debe a un mal funcionamiento en el mecanismo de autenticación de peering y podría ser explotada por un atacante enviando una solicitud diseñada a un sistema afectado.
Un exploit exitoso podría permitir al atacante iniciar sesión en un controlador SD-WAN de Cisco Catalyst como una cuenta de usuario no root interna y altamente privilegiada y usarla como arma para acceder a NETCONF y manipular la configuración de red en la estructura SD-WAN.
Esta vulnerabilidad afecta a las siguientes implementaciones:
Implementaciones locales Cisco SD-WAN Cloud-Pro Cisco SD-WAN Cloud (Cisco Managed) Cisco SD-WAN para gobierno (FedRAMP)
Según Rapid7, que descubrió CVE-2026-20182, esta falla también se refleja en otra omisión de autenticación crítica que afecta al mismo componente, CVE-2026-20127 (puntaje CVSS: 10.0). Según se informa, este último ha sido explotado por un actor de amenazas conocido como UAT-8616 desde al menos 2023.
«Esta nueva vulnerabilidad de omisión de autenticación afecta al servicio ‘vdaemon’ (puerto UDP 12346) sobre DTLS, el mismo servicio que era vulnerable a CVE-2026-20127», dijeron los investigadores de Rapid7, Jonah Burgess y Stephen Fewer. «La nueva vulnerabilidad no es una omisión de parche para CVE-2026-20127. Es un problema separado en una parte similar de la pila de red ‘vdaemon'».
Sin embargo, el resultado final es el mismo. CVE-2026-20182 podría permitir que un atacante remoto no autenticado se convierta en un par autenticado de un dispositivo objetivo y realice operaciones privilegiadas.
En un aviso, Cisco dijo que se dio cuenta de la «explotación limitada» de la falla en mayo de 2026 e instó a los clientes a aplicar la última actualización lo antes posible.
La compañía también dijo que los sistemas de controlador Catalyst SD-WAN a los que se puede acceder a través de Internet y tienen puertos expuestos corren un alto riesgo de verse comprometidos. Se recomienda a los clientes que auditen el archivo «/var/log/auth.log» en busca de entradas relacionadas con claves públicas aceptadas para vmanage-admin de direcciones IP desconocidas o no autorizadas.
Otro indicador es la presencia de eventos de intercambio de tráfico sospechosos en los registros. Esto incluye conexiones entre pares no autorizadas que ocurren en momentos inesperados, se originan a partir de direcciones IP no reconocidas o involucran tipos de dispositivos que no son consistentes con la arquitectura del entorno.
Source link
