A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, a CISA, adicionou na quinta-feira uma vulnerabilidade recém-divulgada que afeta o Cisco Catalyst SD-WAN Controller ao seu catálogo de Vulnerabilidades Exploradas Conhecidas, o KEV.
Com isso, órgãos da Administração Civil Federal dos EUA precisam corrigir o problema até 17 de maio de 2026.
A falha, rastreada como
CVE-2026-20182
, é uma autenticação burlada crítica com nota 10,0 no sistema CVSS, o que indica severidade máxima.
“O Cisco Catalyst SD-WAN Controller e o Manager contêm uma vulnerabilidade de autenticação burlada que permite a um invasor remoto e não autenticado contornar a autenticação e obter privilégios administrativos em um sistema afetado”, afirmou a CISA.
Em comunicado separado, a Cisco atribuiu com alta confiança a exploração ativa da
CVE-2026-20182
ao grupo UAT-8616, o mesmo cluster ligado à exploração da
CVE-2026-20127
para obter acesso não autorizado a sistemas SD-WAN.
“O UAT-8616 executou ações pós-comprometimento semelhantes após explorar com sucesso a
CVE-2026-20182
, como foi observado na exploração da
CVE-2026-20127
pelo mesmo threat actor”, disse a Cisco Talos.
“O UAT-8616 tentou adicionar chaves SSH, modificar configurações do NETCONF e escalar para privilégios de root.”
A avaliação é de que a infraestrutura usada pelo UAT-8616 para realizar a exploração e as atividades após o comprometimento se sobrepõe a redes de Operational Relay Box, as ORB.
A Cisco também observou múltiplos clusters explorando as
CVE-2026-20133
,
CVE-2026-20128
e
CVE-2026-20122
a partir de março de 2026.
As três vulnerabilidades, quando combinadas em cadeia, podem permitir que um invasor remoto e não autenticado obtenha acesso não autorizado ao dispositivo.
Elas foram incluídas no catálogo KEV da CISA no mês passado.
A atividade identificada faz uso de código de exploit de prova de conceito disponível publicamente para implantar web shells em sistemas invadidos, permitindo que os operadores executem comandos bash arbitrários.
Um desses web shells baseado em JavaServer Pages, JSP, recebeu o codinome XenShell por conta do uso de um PoC liberado pela ZeroZenX Labs.
Ao menos 10 clusters diferentes foram associados à exploração das três falhas:
Cluster 1, ativo desde pelo menos 6 de março de 2026, que implanta o web shell Godzilla
Cluster 2, ativo desde pelo menos 10 de março de 2026, que implanta o web shell Behinder
Cluster 3, ativo desde pelo menos 4 de março de 2026, que implanta o web shell XenShell e uma variante do Behinder
Cluster 4, ativo desde pelo menos 3 de março de 2026, que implanta uma variante do web shell Godzilla
Cluster 5, ativo desde pelo menos 13 de março de 2026, que implanta um agente de malware compilado a partir do framework de red team AdaptixC2
Cluster 6, ativo desde pelo menos 5 de março de 2026, que implanta o framework de command and control, C2, Sliver
Cluster 7, ativo desde pelo menos 25 de março de 2026, que implanta um minerador de XMRig
Cluster 8, ativo desde pelo menos 10 de março de 2026, que implanta a ferramenta de mapeamento de ativos KScan e um backdoor baseado em Nim, provavelmente derivado do NimPlant, com capacidade para realizar operações com arquivos, executar arquivos usando bash e coletar informações do sistema
Cluster 9, ativo desde pelo menos 17 de março de 2026, que implanta um minerador de XMRig e uma ferramenta de proxy e tunelamento baseada em pares chamada gsocket
Cluster 10, ativo desde pelo menos 13 de março de 2026, que implanta um ladrão de credenciais que tenta obter o hashdump de um usuário administrador, fragmentos de chaves JSON Web Tokens, os JWT, usados para autenticação na REST API, e credenciais da AWS para o vManage
Em comunicado publicado hoje, a Cisco informou que o problema está relacionado a um mecanismo de autenticação de peering que “não está funcionando corretamente”.
“Essa vulnerabilidade existe porque o mecanismo de autenticação de peering em um sistema afetado não está funcionando corretamente.
Um atacante pode explorar essa vulnerabilidade enviando requisições malformadas ao sistema afetado”, diz o comunicado da Cisco sobre a
CVE-2026-20182
.
“Uma exploração bem-sucedida pode permitir que o atacante faça login em um Cisco Catalyst SD-WAN Controller afetado como uma conta interna, com altos privilégios e sem permissão de root.
Usando essa conta, o atacante poderia acessar o NETCONF, o que então permitiria manipular a configuração de rede da malha SD-WAN.”
O Cisco Catalyst SD-WAN é uma plataforma de rede baseada em software que conecta filiais, centros de dados e ambientes em nuvem por meio de um sistema gerenciado de forma centralizada.
Ele usa um controlador para rotear o tráfego com segurança entre os sites por meio de conexões criptografadas.
A empresa afirma que detectou threat actors explorando a falha em maio, mas não divulgou detalhes sobre a forma de exploração.
Ainda assim, os indicadores de comprometimento compartilhados alertam administradores para verificarem eventos de peering não autorizados nos logs do SD-WAN Controller, o que pode indicar tentativas de registrar dispositivos falsos na malha SD-WAN.
Ao adicionar um peer falso, o atacante pode inserir um dispositivo malicioso no ambiente SD-WAN que parece legítimo.
Esse dispositivo pode então estabelecer conexões criptografadas e anunciar redes sob controle do invasor, permitindo potencialmente um avanço mais profundo na rede da organização.
A falha foi descoberta pela Rapid7 durante a pesquisa de outra vulnerabilidade no controlador SD-WAN da Cisco, identificada como
CVE-2026-20127
, corrigida em fevereiro.
A
CVE-2026-20127
também foi explorada em ataques zero-day por um threat actor identificado como “UAT-8616” desde 2023, para criar peers falsos em organizações.
A Cisco lançou atualizações de segurança para corrigir a vulnerabilidade e afirma que não há contornos que mitiguem totalmente o problema.
A empresa também recomenda restringir o acesso às interfaces de gerenciamento e do plano de controle do SD-WAN apenas para redes internas confiáveis ou endereços IP autorizados, além de revisar os logs de autenticação em busca de atividades suspeitas de login.
A Cisco orienta as organizações a revisar os logs de quaisquer sistemas Catalyst SD-WAN Controller expostos à internet em busca de eventos que possam indicar acesso não autorizado ou ocorrências de peering.
A empresa afirma que os administradores devem verificar o arquivo /var/log/auth.log em busca de entradas mostrando “Accepted publickey for vmanage-admin” vindas de endereços IP desconhecidos.
Os administradores devem comparar os endereços IP nos logs com os System IPs configurados na interface web do Cisco Catalyst SD-WAN Manager, em WebUI > Devices > System IP.
Se um endereço IP desconhecido tiver se autenticado com sucesso, os administradores devem considerar o dispositivo comprometido e abrir um chamado no Cisco TAC.
A Cisco também recomenda revisar os logs do SD-WAN Controller em busca de atividade de peering não autorizada, já que os atacantes podem tentar registrar dispositivos falsos dentro da malha SD-WAN.
A empresa reforça que a atualização para uma versão corrigida do software é a única forma de remediar totalmente a
CVE-2026-20182
.
A Cisco recomenda que os clientes sigam as orientações e recomendações descritas nos comunicados sobre as vulnerabilidades mencionadas para proteger seus ambientes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...