Cisco ha revelado que dos vulnerabilidades más que afectan a Catalyst SD-WAN Manager (anteriormente conocido como SD-WAN vManage) están siendo explotadas en estado salvaje.
Las vulnerabilidades en cuestión son las siguientes.
CVE-2026-20122 (Puntuación CVSS: 7.1): una vulnerabilidad de sobrescritura arbitraria de archivos podría permitir que un atacante remoto autenticado sobrescriba archivos arbitrarios en el sistema de archivos local. Para una explotación exitosa, el atacante debe tener credenciales válidas de solo lectura con acceso API en el sistema afectado. CVE-2026-20128 (Puntuación CVSS: 5,5): una vulnerabilidad de divulgación de información podría permitir que un atacante local autenticado obtenga privilegios de usuario del Agente de recopilación de datos (DCA) en un sistema afectado. La explotación exitosa requiere que el atacante tenga credenciales de vManage válidas en el sistema afectado.
Cisco lanzó parches para fallas de seguridad además de CVE-2026-20126, CVE-2026-20129 y CVE-2026-20133 a fines del mes pasado en las siguientes versiones:
Versiones anteriores a la 20.91: migre para corregir la versión. Versión 20.9 – Corregido en 20.9.8.2 Versión 20.11 – Corregido en 20.12.6.1 Versión 20.12 – Corregido en 20.12.5.3 y 20.12.6.1 Versión 20.13 – Corregido en 20.15.4.2 Versión 20.14 – Corregido en 20.15.4.2 Versión 20.15 – Corregido en 20.15.4.2 Versión 20.16 – Corregido en 20.18.2.1 Versión 20.18 – Corregido en 20.18.2.1
«En marzo de 2026, Cisco PSIRT se dio cuenta de la explotación activa de las vulnerabilidades enumeradas exclusivamente en CVE-2026-20128 y CVE-2026-20122», dijo el gigante de equipos de red. La empresa no dio más detalles sobre la escala de la operación ni quién estaba detrás de ella.
Dada la explotación activa, recomendamos que los usuarios tomen medidas para actualizar a versiones de software fijas lo antes posible, restringir el acceso desde redes no seguras, proteger el dispositivo detrás de un firewall, deshabilitar HTTP en el portal de administración de la interfaz de usuario web de Catalyst SD-WAN Manager, desactivar servicios de red como HTTP y FTP cuando no sean necesarios, cambiar la contraseña de administrador predeterminada y monitorear el tráfico de registro para detectar tráfico inesperado hacia y desde el sistema.
Esta divulgación se produce una semana después de que la compañía anunciara que una falla de seguridad crítica (CVE-2026-20127, puntuación CVSS: 10.0) en los controladores Cisco Catalyst SD-WAN y Catalyst SD-WAN Manager fue explotada por ciberatacantes sofisticados, rastreados como UAT-8616, para establecer un punto de apoyo persistente en organizaciones de alto valor.
Esta semana, Cisco también lanzó actualizaciones que abordan dos vulnerabilidades de seguridad de máxima gravedad (CVE-2026-20079 y CVE-2026-20131, puntuación CVSS: 10.0) en Secure Firewall Management Center. Esta vulnerabilidad podría permitir que un atacante remoto no autenticado omita la autenticación y ejecute código Java arbitrario como root en un dispositivo afectado.
Source link
