Mastodon Mastodon Mastodon Mastodon

Ataques encadenados contra Cisco Catalyst SD-WAN Manager

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Cisco ha confirmado la explotación activa de la vulnerabilidad CVE-2026-20245 (CVSS 7.8) en Cisco Catalyst SD-WAN Manager, que permite a un atacante local autenticado ejecutar comandos arbitrarios con privilegios de root mediante la carga de un archivo especialmente diseñado. Por el momento no existe parche. La vulnerabilidad afecta a todos los tipos de despliegue: desde instalaciones locales hasta configuraciones en la nube y entornos gubernamentales (FedRAMP). Cisco ha registrado casos en los que la explotación ha derivado en cambios de configuración en dispositivos perimetrales, lo que supone una amenaza directa para la integridad de toda la infraestructura SD-WAN.

Detalles técnicos de la vulnerabilidad

Según el boletín oficial de Cisco, la vulnerabilidad reside en la interfaz de línea de comandos (CLI) de Cisco Catalyst SD-WAN Manager (antes SD-WAN vManage). La causa raíz es una validación insuficiente de la entrada proporcionada por el usuario. Al cargar un archivo especialmente preparado en el sistema, el atacante puede inyectar comandos y elevar sus privilegios hasta el nivel root.

Tipos de despliegue afectados:

  • Instalaciones locales (On-Prem Deployment)
  • Cisco SD-WAN Cloud-Pro
  • Cisco SD-WAN Cloud (gestionado por Cisco)
  • Cisco SD-WAN for Government (FedRAMP)

Limitación clave: para explotar CVE-2026-20245, el atacante necesita privilegios de nivel netadmin. Cisco señala explícitamente que dicho acceso puede obtenerse de dos formas: mediante credenciales válidas o explotando una de las dos vulnerabilidades de bypass de autenticación: CVE-2026-20182 o CVE-2026-20127. La compañía no ha observado otros métodos confirmados de obtención de acceso inicial.

Cadena de ataque: del bypass de autenticación a root

Es precisamente la combinación de vulnerabilidades lo que hace que la situación sea especialmente peligrosa. CVE-2026-20182 (CVSS 10.0), según se informa, es un bypass de autenticación que permite a un atacante remoto no autenticado obtener privilegios administrativos. Una vulnerabilidad de naturaleza similar, CVE-2026-20127 (NVD), afecta al mismo componente. De acuerdo con la fuente original, ambas vulnerabilidades se explotaron como zero-days.

De este modo, se conforma una cadena de ataque en dos etapas:

  1. Acceso inicial: explotación de CVE-2026-20182 o CVE-2026-20127 para eludir la autenticación y obtener privilegios administrativos (netadmin)
  2. Elevación de privilegios: carga de un archivo malicioso mediante la CLI para explotar CVE-2026-20245 y obtener acceso root

Esta cadena convierte una vulnerabilidad con CVSS 7.8, que requiere autenticación local, en un ataque prácticamente remoto con compromiso total del sistema, siempre que las vulnerabilidades previas de bypass de autenticación no estén corregidas.

Actividad observada e indicadores de compromiso

Cisco ha informado de un número limitado de casos en los que la explotación de CVE-2026-20245 ha dado lugar a cambios de configuración propagados a los dispositivos perimetrales. Esto significa que los atacantes no solo obtienen acceso a la plataforma de gestión, sino que también son capaces de influir en la configuración de toda la fábrica SD-WAN —routers y puntos de acceso en el perímetro de la red.

La vulnerabilidad fue descubierta y comunicada por investigadores de Google Mandiant: Chester Sng, Pete Boonyakarn y Logeswaran Nadarajan. Por ahora se desconoce quién está detrás de la explotación observada.

Para detectar posibles indicios de compromiso, Cisco recomienda revisar el archivo /var/log/scripts.log en busca de entradas sospechosas. Ejemplos de indicadores:

  • Entradas con rutas a archivos no estándar, por ejemplo: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
  • Entradas legítimas a modo de comparación: /usr/bin/vconfd_script_upload_vsmart_serial_numbers.sh -cli path /home/admin/vsmart_serial_numbers_safe.csv
  • Entradas legítimas: /usr/bin/vconfd_script_upload_chassis_number_file.sh -cli path /home/admin/chassis_numbers_safe.csv

Debe prestarse especial atención a los nombres de archivo no habituales en los argumentos de los scripts de carga y a las entradas que no se correspondan con las operaciones típicas de mantenimiento.

Alcance del problema: crisis sistémica en Cisco SD-WAN

Según la fuente original, CVE-2026-20245 se ha convertido en la séptima vulnerabilidad en Cisco SD-WAN que alcanza el estatus de activamente explotada en lo que va de año. Anteriormente se habían registrado ataques a través de CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 y CVE-2022-20775, además de las ya mencionadas CVE-2026-20182 y CVE-2026-20127.

Esta concentración de vulnerabilidades activamente explotadas en un único producto pone de manifiesto el interés sostenido de los atacantes en la infraestructura SD-WAN como punto de entrada a las redes corporativas. Las plataformas de gestión SD-WAN controlan el enrutamiento, las políticas de seguridad y la configuración de decenas o cientos de dispositivos perimetrales; su compromiso proporciona al atacante un mecanismo de control sobre toda la red distribuida.

Cisco también advierte de que los sistemas accesibles desde internet están expuestos a un riesgo de compromiso significativamente mayor.

Recomendaciones de respuesta

Dado que el parche para CVE-2026-20245 por el momento no está disponible y no se han propuesto soluciones alternativas, las acciones prioritarias deben centrarse en mitigar las vulnerabilidades previas de la cadena de ataque y en el monitoreo:

  1. Aplicar de inmediato las correcciones para CVE-2026-20182, publicadas el 14 de mayo de 2026. Esto bloquea el vector principal de obtención de acceso inicial necesario para explotar CVE-2026-20245
  2. Revisar el archivo /var/log/scripts.log en todas las instancias de SD-WAN Manager en busca de entradas anómalas con rutas de archivo no estándar
  3. Restringir el acceso a SD-WAN Manager desde internet: retirar la interfaz de gestión del acceso público, si aún no se ha hecho
  4. Realizar una auditoría de las cuentas con privilegios netadmin para asegurarse de que no existan cuentas no autorizadas
  5. Comprobar la configuración de los dispositivos perimetrales en busca de cambios no autorizados, teniendo en cuenta los casos confirmados de propagación de configuraciones maliciosas a los dispositivos edge

Las organizaciones que utilicen Cisco Catalyst SD-WAN Manager en cualquier modalidad de despliegue deben tratar esta situación como un incidente que requiere una respuesta inmediata: la explotación activa está confirmada, no existe parche y la única protección disponible pasa por corregir las vulnerabilidades de autenticación previas y reforzar el monitoreo. La prioridad absoluta es asegurarse de que las correcciones para CVE-2026-20182 estén instaladas en todas las instancias y de que las interfaces de gestión estén aisladas del acceso directo desde internet.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio