Vulnerabilidad CVE-2026-20127 de SD-WAN
Se ha identificado una vulnerabilidad de máxima gravedad, identificada como CVE-2026-20127 (puntuación CVSS: 10.0), en Cisco Catalyst SD-WAN Controller y Cisco Catalyst SD-WAN Manager de Cisco Systems. Esta falla permite a un atacante remoto no autenticado eludir los controles de autenticación y obtener acceso administrativo mediante el envío de una solicitud especialmente diseñada a un sistema vulnerable.
El problema se debe a un fallo en el mecanismo de autenticación de peering, que permite a un adversario iniciar sesión como un usuario interno con privilegios elevados, no root. Con este nivel de acceso, los atacantes pueden interactuar con los servicios NETCONF y manipular las configuraciones de la estructura SD-WAN, lo que podría comprometer la integridad y la disponibilidad de las redes empresariales.
Tabla de contenido
Modelos de implementación afectados
La vulnerabilidad afecta a múltiples modelos de implementación, independientemente de la configuración:
- Implementaciones locales
- Nube SD-WAN alojada por Cisco
- Nube SD-WAN alojada por Cisco – Gestionada por Cisco
- Nube SD-WAN alojada por Cisco: entorno FedRAMP
Los sistemas expuestos a la Internet pública, particularmente aquellos con puertos abiertos, enfrentan un riesgo significativamente mayor de ser comprometidos.
Explotación activa y actividad de actores de amenazas
Investigadores de seguridad han confirmado una explotación activa que se remonta a 2023. La campaña se rastrea bajo la designación UAT-8616, evaluada como un clúster de amenazas altamente avanzado. La evidencia indica que el grupo aprovechó esta vulnerabilidad de día cero para infiltrarse en entornos Cisco SD-WAN y obtener acceso elevado persistente.
La metodología de ataque incluye la creación de un par no autorizado que se une al plano de gestión o control de la SD-WAN. Este dispositivo malicioso se presenta como un componente legítimo pero temporal de la SD-WAN, lo que permite interacciones confiables dentro de la infraestructura de gestión.
Tras la vulneración inicial de una aplicación conectada a internet, los atacantes aprovecharon el mecanismo de actualización integrado para degradar las versiones del software. Esta degradación facilita la explotación de CVE-2022-20775 (puntuación CVSS: 7,8), una vulnerabilidad de escalada de privilegios de alta gravedad en la CLI del software Cisco SD-WAN. Una vez obtenidos los privilegios de root, los atacantes restauran el sistema a su versión original para minimizar la detección.
Las acciones posteriores al compromiso atribuidas a UAT-8616 incluyen:
- Creación de cuentas de usuario locales diseñadas para parecerse a cuentas legítimas
- Inserción de claves SSH autorizadas para acceso root y modificación de scripts de inicio de SD-WAN
- Uso de NETCONF a través del puerto 830 y SSH para movimiento lateral dentro del plano de gestión
- Manipulación de registros, incluida la eliminación de archivos en /var/log, historial de comandos y registros de conexión de red
Esta actividad refleja una tendencia más amplia de actores sofisticados que apuntan a la infraestructura de borde de la red para establecer puntos de apoyo duraderos en entornos de alto valor, incluidos sectores de infraestructura crítica.
Guía de parcheo y remediación
Cisco ha publicado correcciones en varios trenes de software. Las organizaciones que operan versiones vulnerables deben actualizar a versiones corregidas, incluyendo:
- Versiones anteriores a 20.9.1: migrar a una versión corregida
- 20.9: actualización a 20.9.8.2
- 20.11.1: actualización a 20.12.6.1
- 20.12.5: actualización a 20.12.5.3
- 20.12.6: actualización a 20.12.6.1
- 20.13.1, 20.14.1, 20.15: actualización a 20.15.4.2
- 20.16.1 y 20.18: actualización a 20.18.2.1
Además de la aplicación de parches, las organizaciones deben realizar una validación forense. Se recomienda revisar el archivo /var/log/auth.log para buscar entradas que hagan referencia a "Clave pública aceptada para vmanage-admin" provenientes de direcciones IP desconocidas. Cualquier IP sospechosa debe compararse con las IP del sistema configuradas que aparecen en la interfaz web de Cisco Catalyst SD-WAN Manager, en Dispositivos > IP del sistema.
Para detectar posibles eventos de degradación o reinicio inesperado, se deben analizar los siguientes archivos de registro:
- /var/volátil/registro/vdebug
- /var/log/tmplog/vdebug
- /var/volatile/log/sw_script_synccdb.log
Mandatos federales y respuesta regulatoria
En respuesta a la explotación confirmada, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) añadió CVE-2026-20127 y CVE-2022-20775 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Las agencias del Poder Ejecutivo Civil Federal deben remediar estas vulnerabilidades en un plazo de 24 horas.
La CISA también emitió la Directiva de Emergencia 26-03, titulada «Mitigar las vulnerabilidades en los sistemas SD-WAN de Cisco». Esta directiva obliga a las agencias federales a inventariar todos los activos SD-WAN incluidos en el alcance, aplicar actualizaciones de seguridad y evaluar los indicadores de vulnerabilidad.
Los plazos de cumplimiento requieren que las agencias:
- Envíe un catálogo de todos los sistemas SD-WAN incluidos en el alcance antes del 26 de febrero de 2026 a las 11:59 p. m., hora del Este de EE. UU.
- Proporcionar un inventario detallado de los productos afectados y las acciones de remediación antes del 5 de marzo de 2026 a las 11:59 p. m., hora del Este de EE. UU.
- Informe todas las medidas de endurecimiento ambiental antes del 26 de marzo de 2026 a las 11:59 p. m., hora del Este de EE. UU.
Estos avances subrayan la necesidad urgente de una gestión proactiva de parches, una monitorización continua y un fortalecimiento defensivo de la infraestructura del borde de la red para mitigar las amenazas persistentes avanzadas dirigidas a los entornos SD-WAN.
