A Cisco alertou que uma vulnerabilidade de alta severidade no Catalyst SD-WAN Manager está sendo explorada ativamente por invasores. A falha, rastreada como CVE-2026-20245, recebeu pontuação CVSS 7.8, em uma escala que vai até 10, e afeta diferentes modelos de implantação da solução, incluindo ambientes on-premises, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud gerenciado pela própria Cisco e Cisco SD-WAN for Government, voltado a ambientes FedRAMP.

Segundo o comunicado da empresa, a vulnerabilidade está localizada na interface de linha de comando do Cisco Catalyst SD-WAN Manager, anteriormente conhecido como SD-WAN vManage. Em determinadas condições, um atacante local e autenticado pode executar comandos arbitrários com privilégios de root ao fornecer um arquivo especialmente criado ao sistema afetado.

A falha decorre de validação insuficiente de entradas fornecidas pelo usuário. Na prática, um invasor com acesso adequado poderia enviar um arquivo malicioso ao sistema, explorar a falha para realizar injeção de comandos e, a partir disso, elevar seus privilégios até o nível de root, o usuário com controle administrativo máximo em sistemas Linux e Unix.

A Cisco destacou, no entanto, que a exploração da CVE-2026-20245 exige privilégios de netadmin no sistema afetado. Para obter esse nível de acesso, o atacante precisaria possuir credenciais válidas ou explorar vulnerabilidades anteriores, como a CVE-2026-20182 ou a CVE-2026-20127. A empresa informou que, até o momento, não tem conhecimento de explorações bem-sucedidas por outros métodos.

A CVE-2026-20182, com pontuação CVSS 10.0, foi divulgada no mês passado pela Rapid7 e descrita como uma falha de bypass de autenticação capaz de permitir que invasores remotos e não autenticados obtenham privilégios administrativos em sistemas vulneráveis. A vulnerabilidade é considerada semelhante à CVE-2026-20127, outro caso de bypass de autenticação que afeta o mesmo componente.

As duas falhas anteriores já foram exploradas em ataques reais como zero-days. A atividade relacionada à CVE-2026-20127 foi associada a um cluster de ameaça identificado como UAT-8616, que teria abusado da vulnerabilidade desde 2023. Esse histórico amplia a preocupação em torno da nova falha, já que ela pode ser combinada com vulnerabilidades de autenticação para compor uma cadeia de ataque mais severa.

No alerta publicado na quinta-feira, a Cisco afirmou ter observado casos limitados nos quais a exploração da CVE-2026-20245 resultou em alterações de configuração enviadas para dispositivos de borda. Esse tipo de impacto é relevante porque o SD-WAN Manager atua como componente central de gerenciamento da infraestrutura SD-WAN, podendo influenciar políticas, conectividade e configurações aplicadas em equipamentos distribuídos pela rede.

A nova vulnerabilidade foi descoberta e reportada por pesquisadores do Google Mandiant: Chester Sng, Pete Boonyakarn e Logeswaran Nadarajan. Até o momento, não se sabe quem está por trás das tentativas de exploração mais recentes.

Um dos pontos mais críticos do comunicado é que ainda não há correções ou mitigações disponíveis para a CVE-2026-20245. Como medida de redução de risco, a Cisco recomenda que os clientes atualizem o software SD-WAN para garantir que tenham aplicado as correções lançadas em 14 de maio de 2026 para a CVE-2026-20182.

A empresa também alertou que sistemas expostos diretamente à internet estão sob risco elevado de comprometimento. Para buscar possíveis indicadores de comprometimento, administradores devem revisar o arquivo “/var/log/scripts.log” em busca de entradas suspeitas relacionadas à execução de scripts e ao envio de arquivos pela interface CLI.

Entre os exemplos citados pela Cisco estão registros associados ao upload de listas de tenants por número de série vSmart, envio de números de série vSmart e upload de números de chassi para ZTP. Um dos exemplos mostra o uso de um arquivo chamado “malicious.csv”, localizado no diretório “/home/admin/”, como parte de uma chamada ao script “vconfd_script_upload_tenant_list.sh”.

A CVE-2026-20245 é a sétima vulnerabilidade envolvendo Cisco SD-WAN marcada como explorada ativamente apenas neste ano. Antes dela, já haviam sido sinalizadas as falhas CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 e CVE-2022-20775.

A divulgação ocorre poucos dias depois de a Cisco corrigir outra falha de alta severidade, desta vez no Unified Communications Manager. A vulnerabilidade, rastreada como CVE-2026-20230 e com pontuação CVSS 8.6, já possui código de prova de conceito público, embora a empresa tenha informado não haver evidências de exploração ativa até o momento.

O caso envolvendo o Catalyst SD-WAN Manager chama atenção pela combinação de três fatores: exploração ativa, ausência de patch específico e possibilidade de uso em conjunto com falhas anteriores de bypass de autenticação. Em ambientes corporativos, especialmente aqueles que dependem de SD-WAN para conectar filiais, data centers, cloud e usuários distribuídos, a exposição desse tipo de componente pode representar risco direto para a operação e para a continuidade dos negócios.