Cisco confirma exploração ativa de duas vulnerabilidades no Catalyst SD-WAN Manager
6 de Março de 2026

A Cisco revelou que duas novas vulnerabilidades no Catalyst SD-WAN Manager (antigo SD-WAN vManage) estão sendo exploradas ativamente em ambientes reais.

As falhas reportadas são:

- ** CVE-2026-20122 ** (pontuação CVSS 7.1): permite que um invasor autenticado sobrescreva arquivos arbitrários no sistema local.

Para a exploração bem-sucedida, o atacante precisa dispor de credenciais válidas com acesso de leitura à API no sistema afetado.

- ** CVE-2026-20128 ** (pontuação CVSS 5.5): possibilita que um invasor local autenticado eleve seus privilégios ao usuário do Data Collection Agent (DCA).

A exploração requer credenciais válidas no vManage.

Na última semana de maio de 2026, a Cisco lançou patches que corrigem essas vulnerabilidades, além de outras três ( CVE-2026-20126 , CVE-2026-20129 e CVE-2026-20133 ).

As correções estão disponíveis para diversas versões, desde versões anteriores à 20.9.1 até a 20.18, conforme detalhado a seguir:

- Antes da versão 20.9.1: migração para release corrigido.
- Versão 20.9: corrigido na 20.9.8.2
- Versão 20.11: corrigido na 20.12.6.1
- Versão 20.12: corrigido nas versões 20.12.5.3 e 20.12.6.1
- Versões 20.13, 20.14 e 20.15: corrigido na 20.15.4.2
- Versões 20.16 e 20.18: corrigido na 20.18.2.1

Segundo o Cisco Product Security Incident Response Team (PSIRT), explorações ativas das falhas CVE-2026-20128 e CVE-2026-20122 foram detectadas em março de 2026.

A empresa não divulgou detalhes sobre o alcance dos ataques nem a identidade dos responsáveis.

Diante desse cenário, a recomendação é que os usuários atualizem seus sistemas para as versões corrigidas o quanto antes.

Além disso, orienta-se restringir o acesso a partir de redes inseguras, proteger os dispositivos por meio de firewall, desabilitar o HTTP no portal administrativo do Catalyst SD-WAN Manager, desativar serviços de rede como HTTP e FTP quando não estiverem em uso, alterar as senhas administrativas padrão e monitorar logs em busca de tráfego suspeito.

Essa divulgação ocorre uma semana após a Cisco informar que uma vulnerabilidade crítica ( CVE-2026-20127 , CVSS 10.0) no Catalyst SD-WAN Controller e Manager foi explorada por um grupo de cibercriminosos altamente sofisticado, identificado como UAT-8616, para manter acesso persistente em organizações de alto valor.

Nesta semana, a Cisco também liberou atualizações para corrigir duas vulnerabilidades graves no Secure Firewall Management Center ( CVE-2026-20079 e CVE-2026-20131 , CVSS 10.0).

Essas falhas permitiam que invasores remotos não autenticados batessem a autenticação e executassem código Java arbitrário com privilégios root nos dispositivos afetados.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...