A Cisco emitiu um alerta crítico sobre uma vulnerabilidade de bypass de autenticação no Cisco Catalyst SD-WAN, identificada como
CVE-2026-20127
, que está sendo explorada em ataques zero-day.
A falha permite que atacantes remotos comprometam os controladores e adicionem peers maliciosos à rede da vítima.
Com severidade máxima, avaliada em 10.0, a vulnerabilidade afeta o Cisco Catalyst SD-WAN Controller (antigo vSmart) e o Cisco Catalyst SD-WAN Manager (antigo vManage), em instalações on-premises e na nuvem SD-WAN.
O problema foi reportado pelo Australian Cyber Security Centre (ACSC), da Australian Signals Directorate, que colaborou com a Cisco na identificação da falha.
Segundo o comunicado oficial da Cisco, a vulnerabilidade decorre de um mecanismo de autenticação de peering que “não funciona corretamente”.
Isso possibilita que um invasor envie requisições especialmente forjadas ao sistema afetado e realize login como um usuário interno com altos privilégios, ainda que não com acesso root.
Com essa conta, o atacante pode acessar o serviço NETCONF, permitindo alterações na configuração da rede SD-WAN, o que pode comprometer toda a infraestrutura.
O Cisco Catalyst SD-WAN é uma plataforma de rede baseada em software que conecta filiais, data centers e ambientes em nuvem por meio de um sistema centralizado e seguro, utilizando controladores para roteamento protegido por criptografia.
A inserção de um peer falso permite que o ataque simule um dispositivo legítimo, estabeleça conexões criptografadas e anuncie redes controladas pelo invasor, facilitando movimentos laterais dentro da rede.
Relatórios da Cisco Talos indicam que a exploração ativa dessa vulnerabilidade começou pelo menos em 2023.
O grupo responsável, considerado altamente sofisticado, usou uma técnica para escalar privilégios ao nível root, fazendo downgrade para versões antigas do software e explorando a falha
CVE-2022-20775
, antes de restaurar o firmware original para evitar detecção.
Essa atividade maliciosa foi revelada após uma ação coordenada entre a Cisco e as autoridades dos Estados Unidos e do Reino Unido.
Em 25 de fevereiro de 2026, a CISA (Cybersecurity and Infrastructure Security Agency) emitiu a Emergency Directive 26-03, exigindo que agências federais identifiquem os sistemas Cisco SD-WAN, coletem evidências forenses, garantam armazenamento externo de logs, apliquem patches e investiguem possíveis comprometimentos relacionados às vulnerabilidades
CVE-2026-20127
e
CVE-2022-20775
.
A CISA alertou que a exploração representa uma ameaça iminente às redes federais, definindo como prazo máximo para aplicação dos patches o dia 27 de fevereiro de 2026, às 17h (horário da Costa Leste dos EUA).
Em conjunto, a CISA e o NCSC do Reino Unido publicaram um guia detalhado de detecção e hardening, alertando que atores maliciosos estão mirando implantações globais do Cisco Catalyst SD-WAN para adicionar peers falsos e executar ações que garantam acesso root e persistência.
As recomendações ressaltam que as interfaces de gerenciamento SD-WAN nunca devem estar expostas diretamente à internet e orientam a atualização imediata dos sistemas afetados.
O CTO do NCSC, Ollie Whitehouse, destacou a importância de investigar possíveis comprometimentos com base nas diretrizes internacionais para identificar evidências de ataques, além de recomendar que organizações britânicas reportem incidentes e apliquem os patches e configurações de segurança com urgência.
A Cisco disponibilizou atualizações que corrigem a falha, mas não há soluções alternativas completas para mitigar o problema.
Especialistas da Cisco e do Talos orientam uma revisão minuciosa dos logs dos sistemas Catalyst SD-WAN expostos à internet, com atenção para eventos de peering não autorizados e atividades suspeitas de autenticação.
O arquivo /var/log/auth.log deve ser auditado para detectar entradas como “Accepted publickey for vmanage-admin” originadas de endereços IP desconhecidos.
Se houver autenticação bem-sucedida por IPs não autorizados, os administradores devem considerar o dispositivo comprometido e abrir chamado junto ao suporte da Cisco (TAC).
Principais indicadores de comprometimento incluem criação e exclusão de contas maliciosas, logins inesperados com privilégios root, chaves SSH não autorizadas nas contas vmanage-admin ou root, alterações que habilitem PermitRootLogin, além de arquivos de log incomumente pequenos ou ausentes, possível sinal de adulteração.
Também é importante monitorar downgrades de software e reinicializações, indicativos da exploração da
CVE-2022-20775
.
A CISA recomenda análise detalhada dos logs e coleta de artefatos forenses, como dumps de memória do administrador e diretórios home dos usuários, garantindo armazenamento desses dados fora dos sistemas para evitar manipulação.
Em casos de comprometimento ao nível root, as agências devem preferir reinstalações completas em vez de tentar limpar a infraestrutura afetada.
Eventos de peering inesperados ou atividades suspeitas nos controladores devem ser considerados possíveis sinais de ataque e investigados imediatamente.
As recomendações finais incluem restringir a exposição da rede, proteger os componentes SD-WAN com firewalls, isolar as interfaces de gerenciamento, encaminhar logs para sistemas externos e aplicar rigorosamente as orientações de hardening da Cisco.
Por fim, a Cisco reforça que a única forma segura de corrigir definitivamente a vulnerabilidade
CVE-2026-20127
é atualizando para as versões corrigidas do software.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...