A Cisco divulgou atualizações de segurança para corrigir uma vulnerabilidade de gravidade média no Catalyst SD-WAN Manager, identificada como CVE-2026-20262, que já está sendo explorada ativamente no mundo real.
Antes conhecido como SD-WAN vManage, esse software de gerenciamento de rede permite que administradores controlem até 6.000 dispositivos SD-WAN a partir de um único painel. A falha, com pontuação CVSS de 6,5 em 10,0, afeta todos os tipos de implantação, independentemente da configuração do dispositivo, incluindo Cisco Catalyst SD-WAN Manager On-Prem, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud, gerenciado pela Cisco, e Cisco SD-WAN for Government (FedRAMP).
Segundo a Cisco, o problema decorre de uma validação insuficiente de dados enviados pelo usuário durante o processo de upload de arquivos. Isso pode permitir que um atacante remoto autenticado crie um arquivo ou sobrescreva qualquer arquivo no sistema de arquivos de um sistema afetado ao enviar requisições HTTP malformadas para um endpoint da API afetado. Na prática, essa exploração pode ser usada para obter privilégios de root, embora dependa de o atacante já possuir credenciais válidas com pelo menos permissão de gravação.
“Uma vulnerabilidade na interface web do Cisco Catalyst SD-WAN Manager, anteriormente chamado SD-WAN vManage, pode permitir que um atacante remoto autenticado crie um arquivo ou sobrescreva qualquer arquivo no sistema de arquivos de um sistema afetado”, informou a Cisco em comunicado.
A empresa já liberou patches para corrigir o problema nas seguintes versões:
- Cisco Catalyst SD-WAN Release 20.9.9.1 e anteriores, corrigido na 20.9.9.2
- Cisco Catalyst SD-WAN Release 20.12.7.1 e anteriores, corrigido na 20.12.7.2
- Cisco Catalyst SD-WAN Release 20.15.4.4 e anteriores, corrigido na 20.15.4.5
- Cisco Catalyst SD-WAN Release 20.15.5.2 e anteriores, corrigido na 20.15.5.3
- Cisco Catalyst SD-WAN Release 20.18.3, corrigido na 20.18.3.1
- Cisco Catalyst SD-WAN Release 26.1.1.1 e anteriores, corrigido na 26.1.1.2
A Cisco informou que tomou conhecimento de uma exploração limitada da vulnerabilidade em junho de 2026 e acrescentou que o problema foi descoberto durante testes internos de segurança. Embora a empresa não tenha detalhado os ataques, ela divulgou indicadores de comprometimento e recomendou que clientes verifiquem o arquivo “/var/log/nms/vmanage-server.log” em busca de uploads suspeitos de arquivos WAR, como no exemplo abaixo:
11-June-2026 03:53:37,310 EDT INFO [a66cdc5f-807d-4c23-944e-5c809a2ece6b] [server] [SdraAnyConnectFileUploadHandler] (default task-40704) |default| uploaded Remote Access Anyconnect profile file: ../../../../var/lib/wildfly/standalone/deployments/suspicious.war to vManage.
Outros indícios incluem tentativas de implantar código malicioso e interagir com ele, embora a Cisco tenha alertado que esses sinais podem não aparecer de forma consistente em todos os registros de incidente. A empresa também orientou administradores a verificarem atividades subsequentes nos logs “/var/log/nms/vmanage-appserver.log” e “/var/log/nms/containers/service-proxy/serviceproxy-access.log”, como a implantação de um arquivo WAR suspeito e requisições a “/suspicious/index.jsp”.
Em fevereiro, a Cisco corrigiu outra falha de divulgação de informações no Catalyst SD-WAN Manager, a
CVE-2026-20133
, que foi apontada como explorada ativamente no fim de abril. Duas semanas depois, a empresa alertou sobre mais duas falhas,
CVE-2026-20128
e
CVE-2026-20122
, que também estavam sendo abusadas no ambiente real.
No mês passado, a companhia também classificou uma falha de bypass de autenticação de severidade máxima no Catalyst SD-WAN Controller, a
CVE-2026-20182
, como explorada ativamente em uma campanha de zero-day para obter privilégios de administrador em dispositivos sem patch. Mais recentemente, no início de junho, a Cisco alertou para mais uma falha de zero-day ainda sem correção no Catalyst SD-WAN Manager, a
CVE-2026-20245
, que foi explorada em ataques e permitia aos invasores obter privilégios de root.
A CVE-2026-20262 é a oitava falha de segurança no Cisco SD-WAN a ser classificada como explorada ativamente neste ano, depois da
CVE-2026-20245
,
CVE-2026-20182
,
CVE-2026-20127
,
CVE-2026-20122
,
CVE-2026-20128
,
CVE-2026-20133
e
CVE-2022-20775
. A exploração de algumas dessas falhas foi atribuída a um ator de ameaça persistente avançada, identificado como UAT-8616.
Nos últimos anos, a Cybersecurity and Infrastructure Security Agency, a CISA, classificou 91 vulnerabilidades da Cisco como exploradas no mundo real. Cinco delas afetaram o Cisco Catalyst SD-WAN Manager e outras seis foram usadas em ataques de ransomware. O caso levou a agência norte-americana a incluir a falha no catálogo Known Exploited Vulnerabilities, o que obriga órgãos do Federal Civilian Executive Branch a aplicar as correções até 29 de junho de 2026.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...