(https://i.imgur.com/4IEsty2.jpeg)
Cisco ha emitido una alerta de seguridad urgente tras confirmar la explotación activa de una vulnerabilidad zero-day de alta gravedad en Cisco Catalyst SD-WAN Manager, identificada como CVE-2026-20245. El fallo permite a atacantes con acceso limitado escalar privilegios hasta obtener control total del sistema como usuario root, representando una amenaza significativa para organizaciones que utilizan esta plataforma para gestionar infraestructuras de red empresariales.
La compañía confirmó que la vulnerabilidad está siendo explotada en ataques reales y que, por el momento, no existen parches de seguridad disponibles para corregir el problema. La situación ha generado preocupación entre administradores y equipos de seguridad debido al amplio uso de Cisco Catalyst SD-WAN en entornos corporativos, gubernamentales y de infraestructuras críticas.
¿Qué es la vulnerabilidad CVE-2026-20245?La vulnerabilidad CVE-2026-20245 afecta al software Cisco Catalyst SD-WAN Manager, anteriormente conocido como SD-WAN vManage. Esta plataforma permite a las organizaciones supervisar, administrar y automatizar miles de dispositivos SD-WAN desde una consola centralizada.
Según Cisco, el fallo se origina por una validación insuficiente de entradas suministradas por los usuarios, lo que permite la ejecución de comandos arbitrarios en el sistema operativo subyacente.
Un atacante con privilegios limitados podría aprovechar esta debilidad cargando un archivo especialmente diseñado en el sistema vulnerable. Si la explotación tiene éxito, el atacante puede ejecutar comandos con privilegios elevados y obtener acceso root completo al dispositivo afectado.
La empresa explicó que el problema puede derivar en ataques de inyección de comandos, comprometiendo la integridad, confidencialidad y disponibilidad de los sistemas administrados mediante la plataforma.
Todos los modelos de despliegue están afectadosUno de los aspectos más preocupantes de esta vulnerabilidad es que afecta a todos los modelos de implementación de Cisco Catalyst SD-WAN Manager, incluyendo:
- Despliegues On-Premises (locales).
- Cisco SD-WAN Cloud-Pro.
- Cisco SD-WAN Cloud administrado por Cisco.
- Cisco SD-WAN para entornos gubernamentales FedRAMP.
Esto significa que organizaciones de múltiples sectores podrían verse expuestas independientemente del tipo de infraestructura utilizada.
Cisco Catalyst SD-WAN Manager es ampliamente utilizado para administrar redes distribuidas de gran escala y puede gestionar hasta 6.000 dispositivos SD-WAN desde una única interfaz centralizada. Debido a esta capacidad, un compromiso exitoso podría otorgar a los atacantes acceso a componentes críticos de la infraestructura corporativa.
Requisitos para explotar el falloCisco indicó que la explotación de CVE-2026-20245 requiere que el atacante disponga previamente de privilegios de nivel netadmin en el sistema afectado.
Para conseguir dicho acceso, los atacantes podrían utilizar credenciales válidas comprometidas o explotar otras vulnerabilidades previamente identificadas en la plataforma.
Entre ellas destacan:
- CVE-2026-20182, una vulnerabilidad crítica de evasión de autenticación.
- CVE-2026-20127, otro fallo crítico explotado activamente en ataques zero-day.
Según Cisco, hasta el momento no existen evidencias de métodos alternativos de explotación fuera de estos escenarios conocidos.
No obstante, la compañía reconoció haber observado casos reales donde la explotación de la vulnerabilidad provocó modificaciones de configuración que posteriormente fueron propagadas a dispositivos SD-WAN de borde, aumentando el impacto potencial del ataque.
Mandiant detectó la explotación activaEl descubrimiento de la actividad maliciosa fue reportado a Cisco por Mandiant, la división de ciberseguridad de Google Cloud especializada en respuesta a incidentes y amenazas avanzadas.
Aunque Mandiant no publicó detalles técnicos completos sobre la campaña observada, la información compartida fue suficiente para que el Equipo de Respuesta a Incidentes de Seguridad de Producto (PSIRT) de Cisco iniciara una investigación.
Como parte de las medidas de respuesta, Cisco publicó indicadores de compromiso (IOCs) que permiten a los administradores identificar posibles intentos de explotación.
Uno de los principales indicadores consiste en revisar el archivo:
/var/log/scripts.logLos administradores deben buscar registros relacionados con cargas sospechosas de archivos de configuración destinadas a controladores vSmart, especialmente aquellas que incluyan comandos utilizados para manipular listas de inquilinos o ejecutar scripts inesperados.
La presencia de este tipo de eventos podría indicar que un atacante intentó aprovechar la vulnerabilidad para escalar privilegios dentro del entorno SD-WAN.
Cisco recomienda revisar los sistemas inmediatamenteDebido a la ausencia de parches de seguridad, Cisco recomienda a los administradores realizar revisiones exhaustivas de sus entornos.
La compañía aconseja recopilar archivos administrativos y técnicos antes de abrir un caso de soporte con Cisco TAC, permitiendo a los especialistas analizar posibles señales de compromiso.
Asimismo, resulta fundamental monitorear actividades inusuales relacionadas con:
- Cargas de archivos no autorizadas.
- Cambios inesperados en configuraciones SD-WAN.
- Creación de nuevas cuentas administrativas.
- Modificaciones en controladores vSmart.
- Actividad sospechosa en registros del sistema.
La detección temprana puede ser clave para evitar que un atacante alcance privilegios root y comprometa dispositivos adicionales dentro de la infraestructura.
Sin parche disponible, pero con medidas de mitigaciónActualmente, Cisco no ha publicado una actualización específica para corregir CVE-2026-20245.
Sin embargo, la empresa recomienda actualizar inmediatamente los sistemas afectados con las versiones corregidas para CVE-2026-20182, una vulnerabilidad crítica que puede ser utilizada como punto de entrada para explotar posteriormente el nuevo zero-day.
Esta recomendación busca reducir las posibilidades de que los atacantes obtengan los privilegios necesarios para desencadenar la explotación completa.
Un historial creciente de vulnerabilidades en Catalyst SD-WANLa nueva vulnerabilidad se suma a una serie de problemas de seguridad que han afectado a Cisco Catalyst SD-WAN durante los últimos meses.
En febrero, Cisco corrigió CVE-2026-20133, una vulnerabilidad de divulgación de información que posteriormente fue incluida por CISA entre las fallas explotadas activamente.
Poco después, la agencia estadounidense también alertó sobre la explotación de:
- CVE-2026-20128.
- CVE-2026-20122.
Además, en marzo, Cisco solucionó CVE-2026-20127, una vulnerabilidad crítica de evasión de autenticación que, según la compañía, había sido utilizada en ataques de día cero desde al menos 2023.
Las cifras reflejan una tendencia preocupante. Durante los últimos años, CISA ha catalogado aproximadamente 90 vulnerabilidades de Cisco como explotadas activamente en entornos reales. De ellas, cuatro afectaron directamente a Cisco Catalyst SD-WAN Manager y al menos seis fueron utilizadas por grupos de ransomware en campañas dirigidas contra organizaciones empresariales.
Un riesgo creciente para las redes empresarialesLa explotación activa de CVE-2026-20245 demuestra que las plataformas de gestión centralizada continúan siendo objetivos prioritarios para los ciberdelincuentes. Un acceso exitoso a Cisco Catalyst SD-WAN Manager puede proporcionar visibilidad y control sobre miles de dispositivos distribuidos en múltiples ubicaciones geográficas.
Mientras Cisco trabaja en una actualización de seguridad definitiva, las organizaciones deben reforzar la monitorización, revisar posibles indicadores de compromiso y aplicar todas las medidas de mitigación disponibles para reducir la superficie de ataque.
La rapidez en la detección y respuesta será esencial para evitar que esta nueva vulnerabilidad zero-day se convierta en una puerta de entrada para compromisos de mayor alcance dentro de redes corporativas críticas.
Fuente: https://www.bleepingcomputer.com/