Se está explotando activamente una vulnerabilidad de día cero en el SD-WAN Manager de Cisco — y no hay parche disponible.
Cisco emitió un aviso de emergencia el jueves advirtiendo sobre una vulnerabilidad de día cero explotada activamente en su Catalyst SD-WAN Manager, el controlador centralizado utilizado para gestionar la infraestructura de redes de área extensa en entornos empresariales. No existe un parche. La empresa recomienda a los clientes aplicar soluciones alternativas para una vulnerabilidad diferente como mitigación parcial mientras se desarrolla la corrección.
La vulnerabilidad, identificada como CVE-2026-20245, tiene una puntuación de gravedad de 7.8. Afecta la interfaz de línea de comandos de Cisco Catalyst SD-WAN Manager en todos los tipos de implementación: local, en la nube, nube gestionada por Cisco y entornos gubernamentales FedRAMP.
Cómo funciona
La falla se origina en la validación insuficiente de la entrada proporcionada por el usuario. Un atacante que ya haya obtenido privilegios de netadmin —mediante credenciales válidas, robo de credenciales o encadenando esta explotación con una falla separada de omisión de autenticación, CVE-2026-20182— puede cargar un archivo especialmente diseñado en el sistema. Esta carga desencadena una inyección de comandos que eleva el acceso del atacante a nivel de root en el host de SD-WAN Manager.
A partir de ahí, el daño se agrava rápidamente: Cisco ha confirmado "instancias limitadas" en las que la explotación activa provocó cambios no autorizados en la configuración de dispositivos periféricos en toda la red de área extensa de la organización afectada. No se trata de un riesgo teórico, sino de lo que los atacantes ya han hecho.
La vulnerabilidad fue descubierta y reportada al Equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco por Mandiant, la subsidiaria de ciberseguridad de Google Cloud, a principios de junio.
Qué hacer ahora
El aviso de Cisco no ofrece un parche directo para CVE-2026-20245. En su lugar, la empresa recomienda actualizar a versiones de software que resuelven dos vulnerabilidades previas —CVE-2026-20182 y CVE-2026-20127— que pueden servir como condiciones previas para la cadena de ataque. Corregir esos puntos de entrada elimina una de las formas principales en que los atacantes obtienen el acceso de netadmin necesario para activar el día cero.
Antes de actualizar, Cisco indica a los administradores ejecutar el comando request admin-tech desde cada componente de control en su implementación de SD-WAN para preservar posibles indicadores de compromiso para una investigación forense posterior. Para verificar si un sistema ya ha sido atacado, los administradores deben inspeccionar el archivo /var/log/scripts.log en busca de intentos sospechosos de cargar datos de configuración de inquilinos en los controladores vSmart.
Por qué es importante SD-WAN
Cisco Catalyst SD-WAN se implementa en redes empresariales, ISP, agencias gubernamentales y operadores de infraestructura crítica a nivel global. SD-WAN Manager es el cerebro administrativo de estas implementaciones: controla las políticas de enrutamiento, las reglas de calidad de servicio y las políticas de seguridad en potencialmente miles de dispositivos periféricos conectados.
El compromiso del administrador no solo afecta a un dispositivo. Otorga a los atacantes control sobre toda la estructura de la red. La confirmación de que la actividad de explotación ya ha resultado en cambios de configuración enviados a dispositivos periféricos significa que no se trata de un riesgo empresarial teórico, sino de un incidente activo que ocurre en organizaciones que aún no han aplicado mitigaciones.
Si su organización utiliza Cisco Catalyst SD-WAN Manager, trate esto como una prioridad P1. Audite sus registros, preserve el estado forense antes de aplicar parches y actualice inmediatamente a las versiones que aborden las vulnerabilidades previas.
Fuente: BleepingComputer | HelpNetSecurity