Cisco advirtió que se está explotando una falla de seguridad de alta gravedad que afecta a Catalyst SD-WAN Manager.
Esta vulnerabilidad se rastrea como CVE-2026-20245 y tiene una puntuación CVSS de 7,8 de un máximo de 10,0. Afecta a los siguientes tipos de implementación:
Implementaciones locales Cisco SD-WAN Cloud-Pro Cisco SD-WAN Cloud (Cisco Managed) Cisco SD-WAN para gobierno (FedRAMP)
«Una vulnerabilidad en la CLI de Cisco Catalyst SD-WAN Manager (anteriormente conocido como SD-WAN vManage) podría permitir que un atacante local autenticado ejecute comandos arbitrarios como root proporcionando un archivo manipulado a un sistema afectado», dijo Cisco en un aviso.
La firma de seguridad de red dijo que la vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario y podría ser explotada por un atacante cargando un archivo manipulado en un sistema afectado. Esto podría permitir a un atacante realizar ataques de inyección de comandos y aumentar sus privilegios como usuario root.
«Para explotar esta vulnerabilidad, un atacante debe tener privilegios de administrador de red en el sistema afectado», añadió Cisco. «Esto requiere credenciales válidas o la explotación de CVE-2026-20182 o CVE-2026-20127. Cisco no tiene conocimiento de ningún otro método de explotación exitoso».
CVE-2026-20182 (puntaje CVSS: 10.0) fue revelado por Rapid7 el mes pasado y se describe como una omisión de autenticación que podría permitir a un atacante remoto no autenticado obtener privilegios administrativos en un sistema susceptible. También se ha evaluado que es similar a CVE-2026-20127, otro caso de omisión de autenticación que afecta al mismo componente.
Ambas vulnerabilidades fueron explotadas como de día cero, y un grupo de actividad de amenazas conocido como UAT-8616 se asoció con exploits de CVE-2026-20127 que se remontan a 2023.
En un aviso publicado el jueves, Cisco dijo que ha identificado casos limitados en los que CVE-2026-20245 podría explotarse para impulsar cambios de configuración en dispositivos perimetrales. A los investigadores de Google Mandiant, Chester Sng, Pete Boonyakarn y Logeswaran Nadarajan se les atribuye el descubrimiento y el informe de esta nueva vulnerabilidad. No está claro quién está detrás de la última operación de explotación.
Actualmente no hay parches ni mitigaciones disponibles para CVE-2026-20245. Se anima a los clientes a actualizar su software SD-WAN para asegurarse de aplicar las correcciones publicadas para CVE-2026-20182 el 14 de mayo de 2026.
Cisco también advirtió que los sistemas expuestos a Internet corren un mayor riesgo de verse comprometidos. Para buscar indicadores de compromiso (IoC), recomendamos revisar el archivo /var/log/scripts.log para buscar entradas similares a las siguientes:
15 de abril 09:44:57 vmanage vScript: vsmart Cargar lista de inquilinos por número de serie: /usr/bin/vconfd_script_upload_tenant_list.sh -cli ruta /home/admin/malicious.csv vpn 0 5 de junio 13:06:39 Manager vScript: número de serie de carga de vSmart: /usr/bin/vconfd_script_upload_vsmart_serial_numbers.sh -cli ruta /home/admin/vsmart_serial_numbers_safe.csv 5 de junio 13:08:47 Validador vScript: ZTP Cargar número de chasis: /usr/bin/vconfd_script_upload_chassis_number_file.sh -cli ruta /home/admin/números_de_chasis_safe.csv
CVE-2026-20245 sigue a CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128 y CVE-2026-20133 para afectar a Cisco SD-WAN solo este año7. Se ha informado que la segunda vulnerabilidad está siendo explotada actualmente. CVE-2022-20775.
Esta divulgación se produce días después de que Cisco abordara otra falla de seguridad de alta gravedad en Unified Communications Manager (CVE-2026-20230, puntuación CVSS: 8,6) y publicara su código de explotación de prueba de concepto. No hay evidencia de que esta vulnerabilidad haya sido explotada activamente.
Source link
