Uma falha de segurança de gravidade máxima recentemente divulgada no Cisco Catalyst SD-WAN Controller (anteriormente vSmart) e no Catalyst SD-WAN Manager (anteriormente vManage) está a ser explorada ativamente em ataques maliciosos que remontam a 2023.
A vulnerabilidade, rastreada como CVE-2026-20127 (pontuação CVSS: 10,0), permite que um atacante remoto não autenticado ignore a autenticação e obtenha privilégios administrativos num sistema afetado, enviando um pedido manipulado.
A exploração bem-sucedida da falha pode permitir ao atacante obter privilégios elevados e iniciar sessão no sistema como uma conta de utilizador interna, com privilégios elevados e sem privilégios de root.
“Esta vulnerabilidade existe porque o mecanismo de autenticação de peering num sistema afetado não está a funcionar corretamente”, afirmou a Cisco em comunicado, acrescentando que o atacante poderia utilizar a conta de utilizador sem privilégios de root para aceder ao NETCONF e manipular a configuração de rede da estrutura SD-WAN.
A falha afeta os seguintes tipos de implementação, independentemente da configuração do dispositivo:
- Implantação local (On-Prem)
- SD-WAN na nuvem alojada pela Cisco
- SD-WAN na nuvem alojada pela Cisco – Gerida pela Cisco
- SD-WAN na nuvem alojada pela Cisco – Ambiente FedRAMP
A Cisco atribuiu o crédito pela divulgação da vulnerabilidade ao Centro Australiano de Segurança Cibernética (ASD-ACSC) da Direção de Sinais da Austrália. O grande fabricante de equipamentos de rede está a monitorizar a exploração e as atividades subsequentes após a intrusão sob o nome UAT-8616, descrevendo o cluster como um “agente de ameaças cibernéticas altamente sofisticado”.
A vulnerabilidade foi corrigida nas seguintes versões do Cisco Catalyst SD-WAN:
Versões anteriores à 20.91 – Migrar para uma versão corrigida.
- Versão 20.9 – 20.9.8.2 (Lançamento previsto para 27 de fevereiro de 2026)
- Versão 20.111 – 20.12.6.1
- Versão 20.12.5 – 20.12.5.3
- Versão 20.12.6 – 20.12.6.1
- Versão 20.131 – 20.15.4.2
- Versão 20.141 – 20.15.4.2
- Versão 20.15 – 20.15.4.2
- Versão 20.161 – 20.18.2.1
- Versão 20.18 – 20.18.2.1
“Os sistemas Cisco Catalyst SD-WAN Controller expostos à internet e que têm portas expostas à internet correm o risco de serem comprometidos”, alertou a Cisco.
A empresa recomendou ainda que os clientes auditem o ficheiro “/var/log/auth. log” em busca de entradas relacionadas com “Accepted publickey for vmanage-admin” provenientes de endereços IP desconhecidos ou não autorizados. Recomenda-se ainda a verificação dos endereços IP no ficheiro de registo auth. log em comparação com os IPs do sistema configurados e listados na interface web do Cisco Catalyst SD-WAN Manager (WebUI > Dispositivos > IP do Sistema).
De acordo com informações divulgadas pela ASD-ACSC, o UAT-8616 teria comprometido as SD-WANs da Cisco desde 2023 através de uma vulnerabilidade zero-day, permitindo a obtenção de acesso privilegiado.
“A vulnerabilidade permitia que um agente cibernético malicioso criasse um peer não autorizado ligado ao plano de gestão de rede, ou plano de controlo, da SD-WAN de uma organização”, afirmou a ASD-ACSC. “O dispositivo não autorizado aparece como um novo componente SD-WAN temporário, controlado pelo agente, capaz de executar ações fiáveis dentro do plano de gestão e controlo.”
Após comprometer com sucesso uma aplicação exposta ao público, verificou-se que os atacantes exploraram o mecanismo de atualização integrado para realizar um downgrade da versão do software e obter privilégios de utilizador root, explorando a vulnerabilidade CVE-2022-20775 (pontuação CVSS: 7,8), uma falha de escalonamento de privilégios de alta gravidade na CLI do software Cisco SD-WAN, e depois restauraram o software para a versão original em execução.
Algumas das etapas subsequentes iniciadas pelo atacante são as seguintes:
- Criação de contas de utilizador locais que imitavam outras contas de utilizador locais.
- Adição de uma chave autorizada por Secure Shell Protocol (SSH) para acesso root e modificação de scripts de arranque relacionados com o SD-WAN para personalizar o ambiente.
- Utilização do Network Configuration Protocol (NETCONF) na porta 830 e SSH para ligação entre dispositivos Cisco SD-WAN no plano de gestão.
- Apagamento de evidências da intrusão, incluindo a eliminação de registos em “/var/log”, histórico de comandos e histórico de ligações de rede.
Apagamento de registos em “/var/log”, histórico de comandos e histórico de ligações de rede. “A tentativa de exploração do UAT-8616 indica uma tendência contínua de ataques a dispositivos de borda de rede por agentes de ciberameaças que procuram estabelecer pontos de acesso persistentes em organizações de alto valor, incluindo os setores de Infraestrutura Crítica (CI)”, disse a Talos.
O desenvolvimento levou a Agência de Segurança Cibernética e de Infraestruturas (CISA) a adicionar as vulnerabilidades CVE-2022-20775 e CVE-2026-20127 ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), exigindo que as agências do Poder Executivo Civil Federal (FCEB) apliquem as correções nas próximas 24 horas.
Para verificar se houve downgrade de versão e reinicializações inesperadas, a CISA recomenda a análise dos seguintes registos:
- /var/volatile/log/vdebug
- /var/log/tmplog/vdebug
- /var/volatile/log/sw_script_synccdb.log
A CISA emitiu também uma nova diretiva de emergência, 26-03: Mitigar Vulnerabilidades nos Sistemas SD-WAN da Cisco, que exige que as agências federais inventariem os dispositivos SD-WAN, apliquem atualizações e avaliem possíveis comprometimentos.
Para o efeito, as agências foram instruídas para fornecer um catálogo de todos os sistemas SD-WAN abrangidos nas suas redes até 26 de fevereiro de 2026, às 23h59 (hora do leste dos EUA). Além disso, devem apresentar um inventário detalhado de todos os produtos abrangidos e das ações tomadas até 5 de março de 2026, às 23h59 (hora do leste dos EUA). Por fim, as agências deverão apresentar a lista de todas as medidas tomadas para reforçar a segurança dos seus ambientes até 26 de março de 2026, às 23h59 (hora do leste dos EUA).