Underc0de - La Casa de los Informáticos

La empresa de infraestructura de red Cisco ha advertido sobre la explotación activa de dos vulnerabilidades de seguridad en su software Catalyst SD-WAN Manager, una plataforma clave utilizada por organizaciones para gestionar redes corporativas distribuidas. La compañía instó a los administradores de sistemas a actualizar inmediatamente los dispositivos vulnerables para evitar posibles compromisos de red.

Las fallas identificadas como CVE-2026-20122 y CVE-2026-20128 están siendo utilizadas por actores maliciosos en ataques reales, lo que eleva significativamente el nivel de riesgo para empresas que dependen de esta solución de administración de redes.

Qué es Cisco Catalyst SD-WAN Manager

Cisco Catalyst SD‑WAN Manager —conocido anteriormente como vManage— es un software de gestión centralizada que permite a los administradores monitorizar, configurar y controlar redes WAN definidas por software.

La plataforma puede administrar hasta 6.000 dispositivos Catalyst SD-WAN desde un único panel de control, lo que la convierte en una herramienta esencial para grandes empresas, proveedores de servicios y organismos gubernamentales.

Entre sus principales funciones destacan:

• Administración centralizada de routers SD-WAN
• Supervisión del rendimiento de la red
• Automatización de políticas de seguridad
• Configuración remota de dispositivos
• Gestión de tráfico y conectividad entre sedes

Debido a su papel central en la infraestructura de red, una vulnerabilidad en esta plataforma puede tener consecuencias críticas, permitiendo a los atacantes comprometer múltiples sistemas dentro de una organización.

Vulnerabilidades explotadas activamente

Según el equipo de respuesta ante incidentes de seguridad de Cisco (PSIRT), las vulnerabilidades explotadas actualmente son:

CVE-2026-20122 – Sobrescritura arbitraria de archivos

Esta vulnerabilidad de alta gravedad permite a un atacante sobrescribir archivos arbitrarios en el sistema.

Para explotarla, el atacante debe:

• Tener credenciales válidas de solo lectura
• Contar con acceso a la API del sistema

Aunque requiere autenticación, el impacto sigue siendo significativo, ya que la manipulación de archivos críticos puede facilitar escalada de privilegios, persistencia o sabotaje del sistema.

CVE-2026-20128 – Divulgación de información

La segunda vulnerabilidad identificada corresponde a un fallo de gravedad media que permite a atacantes obtener información sensible del sistema.

En este caso, la explotación requiere:

• Acceso local al sistema
• Credenciales válidas de vManage

A pesar de su clasificación de gravedad moderada, la filtración de información puede proporcionar a los atacantes datos valiosos para planificar ataques más avanzados contra la infraestructura de red.

Impacto general de las vulnerabilidades

Cisco ha confirmado que estas fallas afectan a Cisco Catalyst SD-WAN Manager independientemente de la configuración del dispositivo, lo que significa que cualquier implementación vulnerable podría ser explotada.

La compañía recomienda actualizar inmediatamente a versiones de software corregidas, ya que actualmente no existen soluciones temporales o mitigaciones completas que eliminen el riesgo.

El aviso de seguridad actualizado en marzo de 2026 indica que las otras vulnerabilidades listadas en el boletín original aún no han sido explotadas, pero la situación podría cambiar rápidamente.

Ataques de día cero contra Cisco SD-WAN desde 2023

La advertencia de Cisco llega poco después de que la empresa confirmara otra vulnerabilidad crítica explotada activamente en su infraestructura SD-WAN.

La falla identificada como CVE-2026-20127 corresponde a una vulnerabilidad de evasión de autenticación que ha sido utilizada en ataques de día cero desde al menos 2023.

Esta vulnerabilidad permitió a atacantes altamente sofisticados:

• Comprometer controladores SD-WAN
• Insertar pares no autorizados en la red
• Introducir dispositivos maliciosos que aparentaban ser legítimos

Una vez dentro de la red, los atacantes podían moverse lateralmente y ampliar el acceso dentro de la infraestructura corporativa.

Intervención de agencias de seguridad internacionales

Las actividades relacionadas con esta vulnerabilidad fueron lo suficientemente graves como para activar alertas de organismos de ciberseguridad internacionales.

La agencia estadounidense Cybersecurity and Infrastructure Security Agency (CISA) emitió la Directiva de Emergencia 26-03, que exige a las agencias federales:

• Inventariar todos los sistemas Cisco SD-WAN
• Recopilar artefactos forenses
• Aplicar actualizaciones de seguridad
• Investigar posibles brechas relacionadas con la vulnerabilidad

La advertencia también fue respaldada por autoridades de ciberseguridad del Reino Unido, reflejando la preocupación global sobre los ataques dirigidos a infraestructuras de red críticas.

Otras vulnerabilidades críticas parcheadas por Cisco

Además de las fallas en Catalyst SD-WAN Manager, Cisco también publicó actualizaciones de seguridad para corregir dos vulnerabilidades críticas adicionales en su plataforma de administración de firewalls.

Estas afectan a Cisco Secure Firewall Management Center (FMC), una herramienta utilizada para gestionar dispositivos de seguridad de red.

Las vulnerabilidades incluyen:

CVE-2026-20079 – Evasión de autenticación

Esta falla permite a atacantes evadir mecanismos de autenticación y acceder al sistema sin credenciales válidas.

CVE-2026-20131 – Ejecución remota de código (RCE)

La segunda vulnerabilidad permite la ejecución remota de código Java arbitrario en dispositivos no parcheados.

Un atacante podría aprovechar esta falla para:

• Ejecutar código malicioso
• Obtener privilegios root

• Tomar control total del sistema operativo subyacente

Debido a su gravedad, Cisco recomienda aplicar las actualizaciones de seguridad de forma inmediata.

Riesgos para empresas y organizaciones

Las vulnerabilidades en plataformas de gestión de red representan uno de los escenarios más peligrosos en ciberseguridad empresarial.

Si un atacante compromete una herramienta centralizada como Catalyst SD-WAN Manager, podría:

• Controlar múltiples routers de red
• Redirigir tráfico corporativo
• Interceptar comunicaciones internas
• Insertar dispositivos maliciosos
• Facilitar ataques posteriores como ransomware

Esto convierte a las plataformas SD-WAN en objetivos prioritarios para grupos de ciberespionaje y actores patrocinados por estados.

Recomendaciones de seguridad

Los expertos recomiendan varias medidas para mitigar el riesgo asociado a estas vulnerabilidades:

• Actualizar inmediatamente el software a las versiones corregidas.
• Limitar el acceso a interfaces de administración únicamente a redes confiables.
• Revisar registros y logs del sistema en busca de actividad sospechosa.
• Implementar autenticación multifactor para cuentas administrativas.
• Realizar auditorías periódicas de seguridad en infraestructuras SD-WAN.

En fin...

La explotación activa de vulnerabilidades en Cisco Catalyst SD‑WAN Manager demuestra nuevamente que las plataformas de administración de red son objetivos críticos para los ciberdelincuentes.

A medida que las organizaciones dependen cada vez más de arquitecturas SD-WAN para conectar infraestructuras distribuidas, mantener estos sistemas actualizados y protegidos se vuelve fundamental para evitar compromisos de gran escala en redes corporativas.

La rápida aplicación de parches y una estrategia sólida de seguridad de red siguen siendo las mejores defensas frente a este tipo de amenazas.

Fuente: https://www.bleepingcomputer.com/