Sexta vulnerabilidade SD-WAN explorada este ano

A Cisco anunciou a disponibilização de correções para uma nova vulnerabilidade crítica em soluções SD-WAN que está a ser explorada ativamente por atacantes.

A falha, identificada como CVE-2026-20182, corresponde a uma vulnerabilidade de bypass de autenticação que pode permitir a um atacante remoto obter privilégios administrativos através de pacotes especialmente manipulados.

Segundo a Cisco, o problema afeta o mecanismo de autenticação entre peers no Cisco Catalyst SD-WAN Controller e no Cisco Catalyst SD-WAN Manager, anteriormente conhecidos como vSmart e vManage.

A empresa confirmou que tomou conhecimento da exploração ativa da vulnerabilidade durante o mês de maio. A investigação conduzida pela equipa Cisco Talos atribui os ataques a um grupo identificado como UAT-8616.

De acordo com a Talos, o grupo apresenta um elevado grau de sofisticação e já tinha sido associado anteriormente à exploração da vulnerabilidade CVE-2026-20127, também relacionada com plataformas SD-WAN da Cisco.

A Cisco indica que os atacantes tentaram adicionar chaves SSH, modificar configurações NETCONF e obter privilégios root nos sistemas comprometidos.

Os investigadores referem ainda que a infraestrutura utilizada pelo grupo apresenta ligações a redes Operational Relay Box (ORB), frequentemente associadas a operações avançadas de ciberataque.

A vulnerabilidade foi inicialmente reportada pela Rapid7, que identificou o problema durante a análise da CVE-2026-20127. Segundo a empresa, embora ambas afetem o mesmo componente, tratam-se de falhas distintas.

A CISA adicionou já a CVE-2026-20182 ao catálogo Known Exploited Vulnerabilities (KEV), determinando que as agências federais norte-americanas apliquem as correções no prazo máximo de três dias.

Com esta atualização, o catálogo KEV passa a incluir 15 vulnerabilidades SD-WAN da Cisco, cinco das quais descobertas apenas em 2026.

A Cisco Talos revelou ainda ter identificado dez clusters distintos de atividade maliciosa relacionados com exploração de falhas SD-WAN, utilizados para distribuição de cryptominers, webshells, backdoors, malware de roubo de credenciais e outras ferramentas ofensivas.