La vulnerabilidad CVE-2026-20245 (CVSS 7.8) en Cisco Catalyst SD-WAN fue explotada por un atacante desconocido al menos dos meses antes de su divulgación pública, según informa Mandiant (división de Google Cloud). El objetivo del ataque fue un proveedor de telecomunicaciones: el atacante elevó los privilegios de una cuenta de administrador comprometida hasta obtener acceso completo de nivel root, empleando técnicas avanzadas de anti-forensics para ocultar sus huellas. Las organizaciones que utilizan Cisco Catalyst SD-WAN deben comprobar de inmediato la disponibilidad de parches y auditar sus sistemas en busca de indicios de compromiso.
Autopsia técnica de la vulnerabilidad
CVE-2026-20245 es una vulnerabilidad de ejecución local de comandos arbitrarios con privilegios elevados. Según los investigadores, la causa es una validación insuficiente de la entrada proporcionada por el usuario: un atacante autenticado con privilegios de nivel netadmin puede cargar un archivo especialmente manipulado, lo que conduce a la ejecución de comandos con privilegios elevados. Cisco ha confirmado que esta vulnerabilidad ha sido explotada.
Además de CVE-2026-20245, durante la investigación se identificaron otras dos vulnerabilidades de bypass de autenticación en los controladores Cisco Catalyst SD-WAN: CVE-2026-20127 y CVE-2026-20182, que en el momento de la primera ola de ataques también eran vulnerabilidades zero-day no reveladas.
Cronología y cadena de ataque
Mandiant registró dos periodos separados de actividad no autorizada. Por el momento no se ha establecido la relación entre ellos ni si pertenecen al mismo actor.
Primera ola: finales de 2025 — enero de 2026
Durante el primer periodo de actividad, la víctima se enfrentó a conexiones de peering no autorizadas. Según la evaluación de Mandiant, para obtener el acceso inicial, presumiblemente se utilizó una de las dos vulnerabilidades de bypass de autenticación —CVE-2026-20127 o CVE-2026-20182—. Ambas permanecían desconocidas públicamente en ese momento.
Segunda ola: marzo de 2026
La segunda ola de ataques se dirigió a un dispositivo con una versión de software más reciente, que ya incluía el parche para CVE-2026-20127. Cisco confirmó que estas conexiones no utilizaron CVE-2026-20182, lo que deja abierta la cuestión sobre el método de intrusión inicial.
Fue precisamente en la segunda ola cuando se empleó CVE-2026-20245 como vulnerabilidad zero-day. La cadena de ataque fue la siguiente:
- El atacante modificó las credenciales predeterminadas del administrador
- Cargó un archivo CSV malicioso (
evil_tenant.csv) que explotaba CVE-2026-20245 - Elevó privilegios y creó la cuenta oculta
trootcon acceso root completo a la shell - Exfiltró la configuración del fabric SD-WAN
- Restableció la contraseña del administrador a su valor original para que el administrador legítimo no detectara cambios
La anti-forensics como rasgo clave
Un rasgo distintivo de esta campaña fue el enfoque sistemático y metódico para borrar rastros. Según los investigadores de Mandiant —Chester Sng, Pete Boonyakarn y Logesvaran Nadarajan—, el atacante eliminó y restauró de forma intencionada los archivos de configuración modificados del sistema durante todo el tiempo que duró la intrusión.
Las acciones concretas de ocultación incluyeron:
- Eliminación de todos los archivos creados durante el ataque
- Reversión de los cambios de configuración al estado original
- Ejecución de scripts de validación para confirmar la ausencia de indicadores de compromiso
- Restablecimiento de la contraseña del administrador a su valor original tras la exfiltración de datos
Este nivel de seguridad operativa limita considerablemente la capacidad de los defensores para evaluar el alcance completo de la brecha y evidencia una alta cualificación del atacante.
Contexto estratégico: dispositivos perimetrales como punto ciego
Google subrayó que este incidente refleja una tendencia persistente: los atacantes eligen deliberadamente dispositivos de red perimetrales —como controladores SD-WAN— como puntos de anclaje. Las razones son evidentes: estos sistemas, por lo general, no soportan soluciones tipo EDR, disponen de telemetría limitada para un análisis forense profundo y, al mismo tiempo, proporcionan visibilidad del tráfico interno de todo el fabric de red.
Tal como señaló Charles Carmakal, director técnico de Mandiant Consulting, los atacantes avanzados siguen centrando sus esfuerzos principalmente en dispositivos de red y otros sistemas que no admiten capacidades nativas de detección y respuesta en endpoints.
Para los proveedores de telecomunicaciones, la compromisión de la infraestructura SD-WAN representa una amenaza crítica: al tomar el control del controlador del fabric, el atacante potencialmente obtiene acceso a la enrutación y a la visibilidad del tráfico entre todas las sedes de la organización.
Recomendaciones de respuesta
- Instale de inmediato los parches para CVE-2026-20245, CVE-2026-20127 y CVE-2026-20182 en todos los dispositivos Cisco Catalyst SD-WAN afectados
- Revise las cuentas en los dispositivos SD-WAN: la presencia de la cuenta
trootu otras entradas no estándar en/etc/passwdes un indicador directo de compromiso - Audite las conexiones de peering: las conexiones de peering no autorizadas con los controladores SD-WAN pueden indicar la explotación de vulnerabilidades de bypass de autenticación
- Analice los registros de carga de archivos en busca de archivos CSV con nombres atípicos (en particular,
evil_tenant.csv) - Cambie todas las credenciales de los administradores de SD-WAN, incluidos los certificados, especialmente si los dispositivos eran accesibles desde el exterior
- Implemente monitorización adicional de los dispositivos de red perimetrales: recopilación y almacenamiento centralizado de registros, control de integridad de archivos de configuración, supervisión de cambios en las cuentas del sistema
Este incidente demuestra que los dispositivos de red perimetrales siguen siendo un objetivo prioritario para atacantes cualificados precisamente debido a la falta de capacidades de monitorización y detección. Las organizaciones que operan Cisco Catalyst SD-WAN no solo deben instalar los parches disponibles para las tres CVE mencionadas, sino también llevar a cabo un análisis retrospectivo de la actividad en los controladores desde finales de 2025, prestando especial atención a los cambios en las cuentas, las conexiones de peering no estándar y las modificaciones de los archivos de configuración.