Cisco ha lanzado una actualización de seguridad para una falla de seguridad grave en Catalyst SD-WAN Manager que está siendo explotada en la naturaleza.
Esta vulnerabilidad se rastrea como CVE-2026-20262 y tiene una puntuación CVSS de 6,5 sobre 10,0.
«Una vulnerabilidad en la interfaz de usuario web de Cisco Catalyst SD-WAN Manager (anteriormente SD-WAN vManage) podría permitir que un atacante remoto autenticado cree o sobrescriba archivos en el sistema de archivos de un sistema afectado», dijo Cisco en un aviso.
La compañía de equipos de red agregó que el problema se debe a una validación insuficiente de la entrada proporcionada por el usuario durante el proceso de carga del archivo. Un atacante podría aprovechar este comportamiento para crear o sobrescribir archivos en el sistema operativo subyacente enviando solicitudes HTTP diseñadas al punto final API afectado.
Esto, a su vez, podría convertirse en un arma para alcanzar el nivel de raíz. Sin embargo, un exploit exitoso depende de que el atacante ya tenga credenciales válidas con al menos acceso de escritura.
Esta vulnerabilidad afecta a los siguientes productos, independientemente del tipo de implementación:
Cisco Catalyst SD-WAN Manager Local Cisco SD-WAN Cloud-Pro Cisco SD-WAN Cloud (Cisco Managed) Cisco SD-WAN para gobierno (FedRAMP)
Se ha lanzado un parche para solucionar este problema:
Versiones 20.9.9.1 y anteriores de Cisco Catalyst SD-WAN: corregidas en 20.9.9.2 Versiones 20.12.7.1 y anteriores de Cisco Catalyst SD-WAN: corregidas en 20.12.7.2 Versiones 20.15.4.4 y anteriores de Cisco Catalyst SD-WAN: corregidas en la versión 20.15.4.5 de Cisco Catalyst SD-WAN 20.15.5.2 y anteriores: corregido en 20.15.5.3 Cisco Catalyst SD-WAN versión 20.18.3: corregido en 20.18.3.1 Cisco Catalyst SD-WAN versión 26.1.1.1 y anteriores: corregido en 26.1.1.2
Cisco dijo en junio de 2026 que «se dio cuenta de la explotación limitada de esta vulnerabilidad», y agregó que fue descubierta durante las pruebas de seguridad internas.
La compañía también comparte indicadores de compromiso relacionados con actividad maliciosa e insta a los clientes a auditar /var/log/nms/vmanage-server.log en busca de cargas de archivos WAR sospechosos, como:
11 de junio de 2026 03:53:37,310 EDT Información (a66cdc5f-807d-4c23-944e-5c809a2ece6b) (Servidor) (SdraAnyConnectFileUploadHandler) (Tarea predeterminada-40704) |Predeterminado|Acceso remoto Archivo de perfil de Anyconnect: subido ../../../../var/lib/wildfly/standalone/deployments/suspicious.war a vManage.
Otros signos incluyen intentos de implementar e interactuar con código malicioso, pero Cisco advierte que estos códigos no «aparecen consistentemente» en todos los registros de incidentes. La actividad posterior relacionada con esta vulnerabilidad incluye:
CVE-2026-20262 es la tercera vulnerabilidad reportada con más frecuencia que afecta a Cisco SD-WAN y será explotada activamente solo este año, después de CVE-2026-20245, CVE-2026-20182, CVE-2026-20127, CVE-2026-20122 y CVE-2026-20128.8 Esta es la segunda falla de seguridad. CVE-2026-20133 y CVE-2022-20775. Se cree que algunas de estas fallas fueron explotadas por un atacante de Amenaza Persistente Avanzada (APT) llamado UAT-8616.
Tras este desarrollo, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó la falla a su Catálogo de vulnerabilidades explotadas conocidas (KEV) y exigió a las agencias del Poder Ejecutivo Civil Federal (FCEB) que la parchearan antes del 29 de junio de 2026.
Source link
