A agência de cibersegurança dos Estados Unidos, CISA, emitiu um alerta urgente sobre a exploração ativa de vulnerabilidades críticas na plataforma Cisco Catalyst SD-WAN Manager. Três falhas foram adicionadas ao catálogo de vulnerabilidades exploradas ativamente (Known Exploited Vulnerabilities – KEV), com um prazo extremamente curto: apenas quatro dias para que órgãos federais realizem a correção.

A plataforma afetada ocupa um papel central em ambientes corporativos, sendo responsável pela orquestração de redes SD-WAN e capaz de gerenciar até 6.000 dispositivos de borda em um único cluster. Isso significa que uma exploração bem-sucedida não compromete apenas um equipamento isolado, mas potencialmente toda a infraestrutura distribuída da organização.

As vulnerabilidades identificadas são as seguintes:

A CVE-2026-20128 envolve uma falha de exposição de informações no recurso Data Collection Agent (DCA). Essa brecha permite que um invasor remoto, sem autenticação, obtenha privilégios de usuário dentro do sistema — um cenário crítico, já que elimina a necessidade de credenciais iniciais.

A CVE-2026-20133 também trata de exposição de informações sensíveis, possibilitando que um invasor remoto não autenticado visualize dados internos do sistema, o que pode servir como base para ataques mais sofisticados.

Já a CVE-2026-20122 representa um risco ainda mais grave. Trata-se de uma falha de sobrescrita arbitrária de arquivos que pode ser explorada por um invasor autenticado, mesmo com permissões limitadas de leitura via API. A partir disso, é possível enviar arquivos maliciosos, sobrescrever componentes locais e escalar privilégios até o nível de usuário do vManage.

A cadeia de ataque, nesse contexto, pode seguir um fluxo relativamente direto. Inicialmente, o invasor explora falhas de exposição de informações para mapear o ambiente e obter dados sensíveis. Em seguida, utiliza credenciais válidas — possivelmente obtidas ou já existentes — para explorar a vulnerabilidade de sobrescrita de arquivos, implantando código malicioso no sistema. A partir daí, ganha persistência, eleva privilégios e pode assumir controle da plataforma de gerenciamento, impactando toda a rede SD-WAN.

Embora as correções tenham sido disponibilizadas pela Cisco ainda no final de fevereiro, a exploração ativa começou a ser observada em março de 2026. Até o momento, há confirmação de ataques utilizando as falhas CVE-2026-20128 e CVE-2026-20122, enquanto a CVE-2026-20133 ainda não foi oficialmente listada como explorada — embora esteja no radar das autoridades.

O impacto potencial dessas vulnerabilidades é significativo. Em ambientes corporativos, o SD-WAN Manager é o ponto de controle central da rede. Comprometê-lo pode permitir que invasores manipulem políticas de roteamento, interceptem tráfego, criem túneis maliciosos, movimentem-se lateralmente e até interrompam serviços críticos. Em setores como financeiro, saúde e infraestrutura, isso pode resultar em indisponibilidade operacional, vazamento de dados e prejuízos financeiros relevantes.

Esse tipo de incidente reforça uma tendência preocupante no cenário atual: a crescente exploração de sistemas de gerenciamento centralizado. Em vez de atacar endpoints individuais, invasores estão focando em plataformas que oferecem controle amplo sobre múltiplos ativos — uma abordagem mais eficiente e com maior potencial de impacto.

A inclusão dessas falhas no catálogo KEV da CISA indica que a exploração já é considerada confiável e recorrente no mundo real. Para organizações que utilizam a solução da Cisco, o recado é direto: a janela de resposta é curta, e o risco de comprometimento é elevado.