A Cisco divulgou atualizações de segurança para corrigir uma vulnerabilidade crítica de bypass de autenticação que afeta os controladores Catalyst SD-WAN e que já está sendo explorada em ataques reais. A falha, identificada como CVE-2026-20182, recebeu pontuação máxima CVSS 10.0 e permite que invasores remotos obtenham privilégios administrativos sem necessidade de autenticação.

Segundo a Cisco, o problema afeta os componentes Cisco Catalyst SD-WAN Controller, anteriormente chamados de SD-WAN vSmart, e Cisco Catalyst SD-WAN Manager, anteriormente conhecidos como SD-WAN vManage.

A vulnerabilidade está relacionada a uma falha no mecanismo de autenticação de peering entre dispositivos da arquitetura SD-WAN. De acordo com a fabricante, um invasor pode explorar o problema enviando requisições especialmente manipuladas para os sistemas vulneráveis.

Caso a exploração seja bem-sucedida, o atacante consegue se autenticar no controlador SD-WAN como um usuário interno altamente privilegiado, embora sem privilégios root inicialmente. A partir desse acesso, é possível utilizar serviços como o NETCONF para manipular configurações da malha SD-WAN, alterar políticas de rede e potencialmente comprometer comunicações corporativas.

Os ambientes afetados incluem:

• Deployments on-premises

• Cisco SD-WAN Cloud-Pro

• Cisco SD-WAN Cloud (Cisco Managed)

• Cisco SD-WAN for Government (FedRAMP)

A vulnerabilidade foi descoberta pela Rapid7, que destacou semelhanças com a CVE-2026-20127, outra falha crítica de bypass de autenticação divulgada anteriormente e explorada desde pelo menos 2023 por um grupo identificado como UAT-8616.

Segundo os pesquisadores Jonah Burgess e Stephen Fewer, ambas as vulnerabilidades afetam o serviço “vdaemon” sobre DTLS na porta UDP 12346. Apesar das semelhanças, a Rapid7 ressaltou que a CVE-2026-20182 não é um bypass do patch anterior, mas uma nova falha localizada em outra parte da mesma stack de rede.

Na prática, o resultado operacional continua extremamente perigoso: invasores remotos sem autenticação conseguem se registrar como peers confiáveis dentro da infraestrutura SD-WAN e executar operações privilegiadas no ambiente.

A Cisco informou que tomou conhecimento de “exploração limitada” da vulnerabilidade em maio de 2026 e recomenda a aplicação imediata das atualizações de segurança disponibilizadas.

A fabricante alertou ainda que controladores SD-WAN expostos diretamente à internet apresentam risco significativamente maior de comprometimento, principalmente quando portas relacionadas ao serviço vulnerável estão acessíveis externamente.

Como medida de detecção, a Cisco orienta administradores a revisar o arquivo /var/log/auth.log em busca de registros suspeitos relacionados a:

• “Accepted publickey for vmanage-admin”

• Conexões originadas de IPs desconhecidos ou não autorizados

• Eventos de peering ocorrendo em horários incomuns

• Conexões envolvendo tipos de dispositivos incompatíveis com a arquitetura esperada do ambiente

Especialistas alertam que controladores SD-WAN ocupam uma posição estratégica dentro das redes corporativas modernas. Como esses sistemas centralizam políticas, conectividade entre filiais, comunicação com ambientes cloud e gerenciamento de tráfego, uma invasão bem-sucedida pode permitir espionagem, movimentação lateral, persistência silenciosa e controle amplo da infraestrutura de rede.

O caso também reforça uma tendência crescente de ataques direcionados a appliances de borda, controladores de rede e plataformas de gerenciamento centralizado, componentes frequentemente utilizados como ponto inicial de comprometimento em operações conduzidas por grupos avançados e atores patrocinados por Estados-nação.