Cisco corrige zero-day crítico explorado ativamente por atacantes sofisticados

A Cisco lançou atualizações de emergência para corrigir uma vulnerabilidade crítica de dia zero no Catalyst SD-WAN que está a ser explorada no mundo real. A falha, identificada como CVE-2026-20127 e classificada com a pontuação máxima de 10/10 no CVSS, permite que atacantes remotos contornem os mecanismos de autenticação e obtenham privilégios administrativos em dispositivos vulneráveis, tendo já sido adicionada ao catálogo de Vulnerabilidades Conhecidamente Exploradas (KEV) da agência norte-americana CISA.

A vulnerabilidade afeta o mecanismo de autenticação de peering do Catalyst SD-WAN Controller (anteriormente designado vSmart) e do Catalyst SD-WAN Manager (anteriormente vManage). De acordo com a Cisco, um atacante não autenticado pode enviar pedidos especificamente construídos para explorar a falha e, em caso de sucesso, iniciar sessão como uma conta interna com elevados privilégios, embora não com permissões root. Ainda assim, esse acesso permite explorar o serviço NETCONF e manipular a configuração da infraestrutura SD-WAN, comprometendo potencialmente toda a malha de rede.

A Cisco disponibilizou correções nas versões 20.12.6.1, 20.12.5.3, 20.15.4.2 e 20.18.2.1, estando também previsto que a atualização 20.9.8.2 inclua o patch. A empresa confirmou que tem conhecimento de exploração limitada da vulnerabilidade e publicou indicadores de compromisso (IoC) para ajudar as organizações a identificar atividade maliciosa, especialmente em sistemas Catalyst SD-WAN expostos à internet.

No mesmo dia, a CISA emitiu a Emergency Directive 26-03, determinando que as agências federais norte-americanas inventariem imediatamente os sistemas Catalyst SD-WAN, assegurem o armazenamento externo de logs, recolham artefactos específicos para análise forense e apliquem as atualizações no prazo máximo de dois dias. Além do novo zero-day, foi também incluída no KEV a vulnerabilidade CVE-2022-20775, uma falha de path traversal divulgada em 2022 que permite a um atacante autenticado executar comandos arbitrários com privilégios root.

Segundo a CISA e as agências de cibersegurança do grupo Five Eyes, os atacantes têm encadeado ambas as falhas: utilizam o novo zero-day para contornar a autenticação e obter acesso administrativo e, em seguida, efetuam downgrade do software para uma versão vulnerável à falha de 2022, garantindo assim persistência com privilégios root.

A campanha foi atribuída pela Cisco Talos ao grupo UAT-8616, descrito como um ator de ameaça altamente sofisticado ativo desde pelo menos 2023. Até ao momento, não foi estabelecida ligação formal a um país específico. A Talos alertou recentemente para outro grupo com possível ligação à China, identificado como UAT-9686, que explorava um zero-day distinto da Cisco.

Para além desta vulnerabilidade crítica, a Cisco anunciou ainda correções para cinco falhas adicionais no Catalyst SD-WAN Manager, incluindo outro bypass crítico de autenticação na API, bem como para nove vulnerabilidades de severidade média e alta noutros produtos, não havendo evidência de exploração ativa destas últimas. Dada a importância do SD-WAN na gestão de redes empresariais e infraestruturas críticas, a empresa recomenda a aplicação imediata das atualizações e a verificação de possíveis sinais de comprometimento.