La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una vulnerabilidad recientemente revelada que afecta a los controladores Cisco Catalyst SD-WAN a su catálogo de vulnerabilidades explotadas conocidas (KEV) y pidió a las agencias del poder ejecutivo civil federal (FCEB) que solucionen el problema antes del 17 de mayo de 2026.
Esta vulnerabilidad es una omisión de autenticación crítica rastreada como CVE-2026-20182. Tiene una calificación de 10,0 en el sistema de puntuación CVSS, lo que indica gravedad máxima.
«Existe una vulnerabilidad de omisión de autenticación en los controladores y administradores Cisco Catalyst SD-WAN que podría permitir que un atacante remoto no autenticado omita la autenticación y obtenga privilegios administrativos en los sistemas afectados», dijo CISA.
En un aviso separado, Cisco atribuyó la explotación activa de CVE-2026-20182 con alta confianza a UAT-8616, el mismo grupo detrás de la utilización de CVE-2026-20127 como arma para obtener acceso no autorizado a sistemas SD-WAN.
«UAT-8616 realizó acciones posteriores al compromiso similares después de explotar con éxito CVE-2026-20182, similar a lo que se observó con la explotación de CVE-2026-20127 por parte del mismo actor de amenazas», dijo Cisco Talos. «UAT-8616 agregó claves SSH, cambió la configuración de NETCONF e intentó elevar los privilegios de root».
Se evalúa que la infraestructura utilizada por UAT-8616 para realizar sus exploits y actividades posteriores al compromiso se superpone con las redes Operational Relay Box (ORB), y la empresa de ciberseguridad también ha observado múltiples grupos de amenazas que explotan CVE-2026-20133, CVE-2026-20128 y CVE-2026-20122 desde marzo de 2026.
El encadenamiento de tres vulnerabilidades podría permitir que un atacante remoto y no autenticado obtenga acceso no autorizado al dispositivo. Estos se agregaron al catálogo KEV de CISA el mes pasado.
Se descubrió que la campaña aprovechaba el código de explotación de prueba de concepto disponible públicamente para implementar un shell web en sistemas pirateados, lo que permitía a los operadores ejecutar comandos bash arbitrarios. Uno de esos shells web basados en JavaServer Pages (JSP) tiene el nombre en código XenShell debido al uso de una PoC publicada por ZeroZenX Labs.
Al menos 10 grupos diferentes están asociados con la explotación de las tres fallas.
Clúster 1 (activo desde al menos el 6 de marzo de 2026), implementa el shell web Godzilla. Clúster 2 (activo desde al menos el 10 de marzo de 2026), implementa el shell web Behiner. Clúster 3 (activo desde al menos el 4 de marzo de 2026), implementa el shell web XenShell y una variante de Behinder. Clúster 4 (activo desde al menos el 3 de marzo). Clúster 5 (activo desde al menos el 13 de marzo de 2026). implementa una variante de Godzilla Webshell Cluster 5 (activo desde al menos el 13 de marzo de 2026), este agente de malware fue compilado a partir del marco de trabajo AdaptixC2 Red Team Cluster 6 (activo desde al menos el 5 de marzo de 2026), implementa el marco de comando y control Sliver (C2) Cluster 7 (activo desde al menos el 5 de marzo de 2026), implementa una variante de Godzilla Webshell Cluster 8 (activo desde al menos el 10 de marzo de 2026) 2026) implementa el minero XMRig, la herramienta de mapeo de activos KScan y una puerta trasera basada en Nim, posiblemente basada en NimPlant, con la capacidad de realizar operaciones de archivos, ejecutar archivos usando bash y recopilar información del sistema. Clúster 9 (activo desde al menos el 17 de marzo de 2026). Implemente el minero XMRig y el proxy basado en pares. Una herramienta de tunelización llamada gsocket Cluster 10 (activa desde al menos el 13 de marzo de 2026). Esto implementa un volcado de hash del usuario administrador, el fragmento de clave JSON Web Token (JWT) utilizado para la autenticación de la API REST y un ladrón de credenciales que intenta recuperar las credenciales de AWS para vManage.
Cisco recomienda que los clientes sigan las pautas y recomendaciones descritas en los avisos de vulnerabilidad antes mencionados para proteger sus entornos.
Source link
