Uma vulnerabilidade de gravidade máxima (CVSS 10.0) foi identificada nos sistemas Cisco Catalyst SD-WAN Controller e Cisco Catalyst SD-WAN Manager, permitindo que invasores remotos, sem autenticação, obtenham privilégios administrativos completos nos ambientes afetados. A falha, catalogada como CVE-2026-20127, já vinha sendo explorada ativamente desde 2023, segundo autoridades australianas e a própria fabricante.

O problema permite o envio de uma requisição especialmente manipulada ao sistema vulnerável, possibilitando o bypass do mecanismo de autenticação e a obtenção de privilégios elevados como usuário interno de alto nível (não-root). Apesar de não conceder acesso root imediato, o nível de acesso obtido já é suficiente para comprometer toda a malha SD-WAN da organização.

Como a falha funciona

De acordo com comunicado oficial da Cisco, a vulnerabilidade existe porque o mecanismo de autenticação de peering não funciona corretamente. Com isso, um hacker pode:

• Criar um “peer” malicioso na camada de gerenciamento (management plane) ou controle (control plane);

• Manipular configurações de rede via NETCONF (porta 830);

• Executar ações consideradas confiáveis dentro da infraestrutura SD-WAN.

O Australian Cyber Security Centre (ASD-ACSC) confirmou que o grupo identificado como UAT-8616, classificado como altamente sofisticado, tem explorado a falha para comprometer ambientes corporativos desde 2023.

Segundo o órgão, o invasor cria um dispositivo SD-WAN malicioso temporário que passa a integrar o ambiente como um componente legítimo da rede, permitindo movimentação lateral e execução de comandos privilegiados.

Escalonamento para root e técnicas de persistência

Após comprometer sistemas expostos à internet, os hackers utilizavam o mecanismo interno de atualização da própria plataforma para forçar um downgrade da versão do software e explorar outra vulnerabilidade conhecida: CVE-2022-20775 (CVSS 7.8), falha de escalonamento de privilégios na CLI do Cisco SD-WAN.

O fluxo identificado inclui:

• Downgrade da versão do sistema;

• Exploração da CVE-2022-20775 para obter acesso root;

• Restauração da versão original para evitar suspeitas.

Entre as ações pós-comprometimento observadas estão:

• Criação de contas locais que imitavam usuários legítimos;

• Inclusão de chave SSH autorizada para acesso root;

• Modificação de scripts de inicialização do SD-WAN;

• Conexões internas via SSH e NETCONF;

• Limpeza de logs em /var/log, histórico de comandos e registros de conexão.

A atividade reforça uma tendência crescente: o direcionamento de dispositivos de borda de rede como porta de entrada para infraestruturas críticas e ambientes corporativos de alto valor.

Ambientes afetados

A falha impacta múltiplos modelos de implantação:

• On-Premises

• Cisco Hosted SD-WAN Cloud

• Cisco Hosted SD-WAN Cloud – Cisco Managed

• Cisco Hosted SD-WAN Cloud – FedRAMP

Sistemas expostos diretamente à internet estão em risco elevado.

Correções e resposta governamental

A Cisco já disponibilizou versões corrigidas para os principais releases afetados e recomenda migração imediata. A empresa também orienta auditoria do arquivo:

/var/log/auth.log

Buscando entradas como:

Accepted publickey for vmanage-admin

Oriundas de IPs desconhecidos.

Além disso, recomenda-se cruzar os IPs encontrados com os System IPs configurados no WebUI do SD-WAN Manager.

Nos Estados Unidos, a Cybersecurity and Infrastructure Security Agency (CISA) incluiu ambas as vulnerabilidades no catálogo de Vulnerabilidades Conhecidamente Exploradas (KEV), determinando que agências federais apliquem as correções em até 24 horas.

A diretiva emergencial 26-03 exige:

• Inventário completo dos dispositivos SD-WAN;

• Aplicação imediata de patches;

• Avaliação de possível comprometimento;

• Envio de relatórios detalhados até março de 2026.

Impacto estratégico

A exploração contínua desde 2023 indica que o problema não é apenas técnico, mas estratégico. Dispositivos SD-WAN operam na camada de controle da conectividade corporativa. Um comprometimento nesse nível permite:

• Interceptação e redirecionamento de tráfego;

• Manipulação de políticas de roteamento;

• Persistência invisível na infraestrutura.

Para setores de Infraestrutura Crítica, o risco é ainda mais elevado.