Cisco alerta para sétima falha SD-WAN explorada em 2026

A Cisco alertou os clientes para a exploração ativa de uma nova vulnerabilidade que afeta o Catalyst SD-WAN Manager, elevando para sete o número de falhas de segurança exploradas em produtos SD-WAN da fabricante desde o início de 2026.

A vulnerabilidade, identificada como CVE-2026-20245, afeta a interface de linha de comandos (CLI) da plataforma de gestão SD-WAN da Cisco e pode permitir a execução arbitrária de comandos com privilégios de root.

Segundo a empresa, a falha resulta de uma validação insuficiente dos dados fornecidos pelos utilizadores. Um atacante com acesso ao sistema pode explorar a vulnerabilidade através do envio de ficheiros especialmente manipulados.

“Um atacante pode explorar esta vulnerabilidade carregando um ficheiro malicioso para o sistema afetado. Uma exploração bem-sucedida pode permitir ataques de injeção de comandos e a elevação de privilégios para root”, refere a Cisco no aviso de segurança.

A exploração exige privilégios de netadmin no equipamento visado. De acordo com a fabricante, esses privilégios podem ser obtidos através de credenciais comprometidas ou recorrendo à exploração de outras vulnerabilidades já conhecidas da plataforma SD-WAN. Entre elas encontram-se as falhas CVE-2026-20182 e CVE-2026-20127, ambas exploradas anteriormente por atacantes para obter acesso não autorizado a sistemas Cisco SD-WAN.

A Cisco revelou ter observado um número limitado de incidentes em que a exploração da nova vulnerabilidade resultou na alteração de configurações distribuídas para dispositivos de edge da infraestrutura SD-WAN.

A falha foi comunicada à Cisco pela Mandiant, empresa especializada em resposta a incidentes e inteligência de ameaças. No entanto, não foram divulgados detalhes sobre os grupos responsáveis pelos ataques nem sobre os setores afetados.

Segundo a fabricante, a sua equipa de resposta a incidentes de segurança (PSIRT) tomou conhecimento da exploração da vulnerabilidade durante o mês de junho, tendo optado por divulgar imediatamente o problema apesar de ainda não existir uma correção disponível.

A Cisco disponibilizou indicadores de compromisso (IoC) para auxiliar na deteção de atividades suspeitas, mas confirmou que não existem atualmente medidas de mitigação ou soluções alternativas eficazes.

A correção será incluída numa futura versão do Cisco Catalyst SD-WAN Manager, cuja data de disponibilização ainda não foi anunciada.

Além da CVE-2026-20245, outras vulnerabilidades SD-WAN cuja exploração foi confirmada este ano incluem as CVE-2026-20128, CVE-2026-20122 e CVE-2026-20133. A Cisco confirmou também a exploração ativa da vulnerabilidade mais antiga CVE-2022-20775, demonstrando o interesse contínuo dos atacantes por infraestruturas SD-WAN expostas.

A fabricante recomenda a monitorização dos indicadores de compromisso divulgados e a revisão imediata dos acessos administrativos aos sistemas SD-WAN, especialmente em ambientes expostos à Internet.