Uma falha zero-day no Cisco SD-WAN Manager está sendo explorada agora — e não há patch disponível.
A Cisco emitiu um aviso de emergência na quinta-feira, alertando sobre uma vulnerabilidade de dia zero ativamente explorada em seu Catalyst SD-WAN Manager — o controlador centralizado usado para gerenciar a infraestrutura de rede de longa distância em ambientes corporativos. Não há patch disponível. A empresa está orientando os clientes a contornar uma vulnerabilidade diferente como mitigação parcial enquanto a correção é desenvolvida.
A vulnerabilidade, registrada como CVE-2026-20245, possui pontuação de gravidade 7,8. Ela afeta a interface de linha de comando do Cisco Catalyst SD-WAN Manager em todos os tipos de implantação: local, nuvem, nuvem gerenciada pela Cisco e ambientes governamentais FedRAMP.
Como Funciona
A falha decorre da validação insuficiente da entrada fornecida pelo usuário. Um atacante que já tenha obtido privilégios de netadmin — por meio de credenciais válidas, roubo de credenciais ou encadeando essa exploração com uma falha separada de bypass de autenticação, CVE-2026-20182 — pode fazer upload de um arquivo especialmente criado para o sistema. Esse upload aciona uma injeção de comando que eleva o acesso do atacante para root no host do SD-WAN Manager.
A partir daí, os danos se acumulam rapidamente: a Cisco confirmou "instâncias limitadas" em que a exploração ativa levou a alterações de configuração não autorizadas sendo enviadas para dispositivos de borda em toda a rede de longa distância da organização afetada. Isso não é um risco teórico — é o que os atacantes já fizeram.
A vulnerabilidade foi descoberta e reportada à Equipe de Resposta a Incidentes de Segurança de Produtos da Cisco pela Mandiant, subsidiária de cibersegurança do Google Cloud, no início de junho.
O Que Fazer Agora
O aviso da Cisco não oferece um patch diretamente para a CVE-2026-20245. Em vez disso, a empresa recomenda atualizar para versões de software que resolvem duas vulnerabilidades anteriores — CVE-2026-20182 e CVE-2026-20127 — que podem servir como pré-condições para a cadeia de ataque. Corrigir esses pontos de entrada remove uma das principais maneiras pelas quais os atacantes obtêm o acesso netadmin necessário para acionar o dia zero.
Antes de atualizar, a Cisco instrui os administradores a executar o comando request admin-tech de cada componente de controle em sua implantação SD-WAN para preservar eventuais indicadores de comprometimento para investigação forense posterior. Para verificar se um sistema já foi alvo, os administradores devem inspecionar o arquivo /var/log/scripts.log em busca de tentativas suspeitas de fazer upload de dados de configuração de inquilino para controladores vSmart.
Por Que o SD-WAN é Importante
O Cisco Catalyst SD-WAN é implantado em redes corporativas, ISPs, agências governamentais e operadores de infraestrutura crítica globalmente. O SD-WAN Manager é o cérebro administrativo dessas implantações — ele controla políticas de roteamento, regras de qualidade de serviço e políticas de segurança em potencialmente milhares de dispositivos de borda conectados.
O comprometimento do gerenciador não afeta apenas um dispositivo. Ele dá aos atacantes controle sobre toda a malha da rede. A confirmação de que a atividade de exploração já resultou em alterações de configuração sendo enviadas para dispositivos de borda significa que não se trata de um risco corporativo teórico — é um incidente ativo ocorrendo em organizações que ainda não aplicaram mitigações.
Se sua organização utiliza o Cisco Catalyst SD-WAN Manager, trate isso como um P1. Audite seus logs, preserve o estado forense antes de aplicar patches e atualize imediatamente para versões que abordam as vulnerabilidades pré-requisito.
Fonte: BleepingComputer | HelpNetSecurity