Oitava falha explorada em plataformas Cisco SD-WAN este ano

A Cisco disponibilizou correções para uma nova vulnerabilidade de zero-day que afeta o Catalyst SD-WAN Manager e que já estava a ser explorada em ataques reais.

A falha, identificada como CVE-2026-20262, permite a escrita arbitrária de ficheiros no sistema operativo subjacente através do envio de pedidos HTTP especialmente concebidos para um endpoint da API afetada.

Segundo a Cisco, um atacante com credenciais válidas e permissões de escrita pode criar ou substituir ficheiros no sistema. A empresa alerta que esta capacidade poderá ser utilizada posteriormente para obter privilégios de root.

A fabricante indicou que a vulnerabilidade foi descoberta internamente e que teve conhecimento da sua exploração durante o mês de junho. No entanto, não divulgou detalhes sobre os ataques observados nem sobre os potenciais responsáveis.

Também não é conhecido se a vulnerabilidade foi utilizada em conjunto com outras falhas de segurança ou se os atacantes recorreram a credenciais previamente comprometidas para obter acesso aos sistemas.

A Cisco descreveu os incidentes como ataques limitados, um indicador que normalmente está associado a operações altamente direcionadas contra organizações específicas.

A CISA adicionou a CVE-2026-20262 ao catálogo KEV, exigindo que as agências federais norte-americanas apliquem as correções até 29 de junho.

Esta é a oitava vulnerabilidade em produtos Cisco SD-WAN cuja exploração ativa foi identificada em 2026. No início de junho, a Cisco já tinha divulgado outra vulnerabilidade de zero-day no mesmo ecossistema SD-WAN, reforçando as preocupações sobre a exposição destas plataformas a campanhas de exploração direcionadas.

A fabricante recomenda que as organizações afetadas instalem as atualizações disponibilizadas e revejam os controlos de acesso às plataformas de gestão, reduzindo o risco de utilização indevida de credenciais privilegiadas.