Cisco alerta para exploração ativa de falhas graves no Catalyst SD-WAN Manager
A Cisco reforçou o nível de alerta em torno de sua plataforma de orquestração de redes definidas por software ao atualizar, nesta quinta-feira (5), um aviso de segurança crítico: duas vulnerabilidades já corrigidas no Catalyst SD-WAN Manager estão sendo ativamente exploradas por cibercriminosos.
As brechas em questão, catalogadas como CVE-2026-20128 e CVE-2026-20122, integram um pacote de cinco falhas corrigidas pela fabricante em 25 de fevereiro. Embora os patches estejam disponíveis, a continuidade dos ataques indica que há um número significativo de ambientes ainda sem atualização ou com proteções insuficientes.
Duas falhas, dois vetores de ataque e uma mesma consequência: escalada de privilégios
A CVE-2026-20128 está relacionada a um problema de divulgação indevida de informações na funcionalidade Data Collection Agent (DCA) do Catalyst SD-WAN Manager. De acordo com a Cisco, um arquivo de credenciais é exposto de maneira inadequada, o que possibilita que usuários locais autenticados abusem dessas credenciais para obter privilégios de usuário DCA no sistema.
Na prática, isso significa que qualquer atacante que já tenha algum tipo de acesso interno – por exemplo, por meio de uma conta comprometida, credencial vazada ou uso indevido de conta legítima – pode alavancar essa falha para aumentar sua capacidade de movimentação dentro do ambiente SD-WAN, coletar mais dados sensíveis e preparar etapas posteriores de um ataque.
Já a vulnerabilidade CVE-2026-20122 afeta a API do produto e permite sobrescrita arbitrária de arquivos. A Cisco explica que atacantes remotos autenticados, mesmo que possuam apenas permissões de leitura, podem explorar esse bug para sobrescrever arquivos críticos e, a partir disso, obter privilégios elevados.
Esse tipo de falha é particularmente perigoso em sistemas de gestão de rede porque, uma vez com privilégios ampliados, o invasor pode alterar configurações, desviar tráfego, inserir backdoors, criar novas contas com acessos persistentes ou até desativar mecanismos de segurança e monitoramento. Em um cenário extremo, o controle completo da orquestração SD-WAN permite manipular o fluxo de dados entre filiais, datacenters e nuvem.
Indício de ataques encadeados e operações mais complexas
A Cisco não divulgou detalhes técnicos sobre as campanhas em andamento, mas o próprio texto do alerta sugere que as vulnerabilidades podem estar sendo usadas em conjunto, de forma encadeada.
Esse encadeamento (chaining) é uma tática comum em ataques avançados: uma falha inicial serve para obter algum nível de acesso ou informação; outra é explorada para elevar privilégios; e outras etapas podem envolver movimentação lateral, implantação de malware, exfiltração de dados ou implantação de backdoors para acesso prolongado.
No caso do Catalyst SD-WAN Manager, um possível cenário seria: o invasor primeiro conquistar acesso autenticado de baixo privilégio (por phishing ou credenciais vazadas), em seguida explorar a falha de sobrescrita de arquivos (CVE-2026-20122) para elevar privilégios, e então abusar da exposição de credenciais da funcionalidade DCA (CVE-2026-20128) para consolidar ainda mais o controle sobre o ambiente.
Histórico recente agrava o risco: zero-day explorado desde 2023
O novo aviso da Cisco vem na sequência de outro alerta de alta criticidade: a descoberta da vulnerabilidade zero-day CVE-2026-20127 no Catalyst SD-WAN, que vem sendo explorada desde 2023.
Essa falha, classificada como crítica, foi usada em conjunto com uma vulnerabilidade mais antiga, a CVE-2022-20775, para burlar mecanismos de autenticação e ganhar privilégios administrativos em ambientes alvo. A combinação de uma falha inédita (zero-day) com outra já conhecida mostra um padrão de exploração sofisticado, no qual os invasores estudam profundamente o produto, sua arquitetura e a forma como diferentes bugs podem se complementar.
A CISA, agência de cibersegurança dos Estados Unidos, já havia informado que esse encadeamento de vulnerabilidades estava permitindo a invasores assumir controle de instâncias do SD-WAN Manager, contornando controles de segurança projetados para impedir justamente esse tipo de ação.
Ator de ameaça sofisticado por trás dos ataques
A Cisco Talos, unidade de inteligência de ameaças da empresa, atribuiu esses ataques ao grupo rastreado como UAT-8616, classificado como um ator de ameaça avançado e altamente capacitado, ativo pelo menos desde 2023.
Embora ainda não esteja totalmente claro se todas as vulnerabilidades – CVE-2026-20127, CVE-2026-20128, CVE-2026-20122 e outras do mesmo ciclo – foram usadas dentro de uma única campanha ou de operações distintas, o ponto em comum é que o alvo principal são infraestruturas críticas baseadas em Catalyst SD-WAN.
Esse perfil reforça que não se trata de ataques oportunistas simples, voltados apenas a dispositivos expostos de forma aleatória, mas de campanhas com objetivos estratégicos, possivelmente mirando dados sensíveis, espionagem, interrupção de serviços ou estabelecimento de acesso persistente a redes de grande porte.
Patches disponíveis e versões corrigidas
Para mitigar os riscos, a Cisco já disponibilizou atualizações de segurança que corrigem as vulnerabilidades em diferentes ramos de versão do Catalyst SD-WAN Manager. As versões que incluem as correções são:
– 20.9.8.2
– 20.12.5.3
– 20.12.6.1
– 20.15.4.2
– 20.18.2.1
Organizações que utilizam versões anteriores a essas permanecem expostas, especialmente se o portal de gestão SD-WAN estiver acessível a partir da internet ou se houver contas com privilégios além do estritamente necessário.
A recomendação da fabricante é clara: aplicar as atualizações imediatamente, priorizando ambientes críticos e instâncias expostas ou acessíveis remotamente. Em muitos casos, será necessário um planejamento cuidadoso de janela de manutenção, mas adiar o patch em cenário de exploração ativa aumenta de forma significativa o risco de comprometimento.
Medidas de mitigação além da atualização
Embora o patch seja a principal medida de contenção, a Cisco orienta um conjunto de ações complementares para endurecer a superfície de ataque do SD-WAN Manager:
– Restringir o acesso direto à internet ao portal do SD-WAN Manager, preferindo acesso via VPN, bastion hosts ou redes administrativas segregadas.
– Implementar o princípio de privilégio mínimo para todas as contas que tenham acesso ao sistema, evitando permissões desnecessárias ou compartilhamento de credenciais.
– Revisar e fortalecer configurações de autenticação, como uso de MFA, rotação periódica de senhas e desativação de contas inativas.
– Monitorar os logs do sistema em busca de comportamentos anômalos, como tentativas repetidas de autenticação, criação ou alteração suspeita de contas, mudanças não planejadas em configurações ou uso incomum da API.
– Integrar o SD-WAN Manager a soluções de SIEM e de detecção e resposta (XDR/EDR/NDR), para correlação de eventos e resposta mais rápida a incidentes.
O que procurar nos logs e nos sinais de comprometimento
Equipes de segurança devem reforçar a observabilidade em torno do Catalyst SD-WAN Manager, especialmente em ambientes onde a atualização ainda não foi concluída ou onde há suspeita de atividade maliciosa. Alguns indícios que merecem atenção:
– Acessos vindos de endereços IP incomuns ou geolocalizados em regiões que não fazem parte da operação normal da empresa.
– Padrões de uso da API fora do horário comercial ou em volume superior ao habitual.
– Criação, alteração ou exclusão de arquivos de configuração sem mudança planejada registrada em change management.
– Alterações em perfis de usuário, grupos de acesso ou permissões administrativas sem solicitação formal.
– Indícios de movimentação lateral a partir do servidor SD-WAN Manager em direção a outros ativos críticos da rede.
Investigá-los com rapidez é essencial para identificar se as vulnerabilidades foram exploradas e, em caso positivo, interromper a cadeia de ataque antes que o invasor consolide persistência ou exfiltre dados.
Porque o SD-WAN se tornou alvo prioritário
Plataformas SD-WAN, como o Catalyst SD-WAN Manager, passaram a concentrar grande parte da inteligência de roteamento, políticas de segurança e conectividade entre filiais, datacenters e nuvens públicas. Isso transforma esses sistemas em alvos extremamente valiosos.
Ao comprometer a camada de orquestração SD-WAN, o atacante pode:
– Manipular rotas para desviar tráfego por infraestruturas sob seu controle.
– Interceptar ou inspecionar dados em trânsito, dependendo do grau de comprometimento.
– Desativar túneis seguros ou enfraquecer políticas de segurança, abrindo portas para ataques adicionais.
– Criar caminhos alternativos para manter acesso persistente mesmo após correções em outros pontos da rede.
Esse contexto explica por que grupos avançados, como o UAT-8616, investem recursos consideráveis em pesquisar vulnerabilidades nesse tipo de solução, incluindo exploração de zero-days e combinação de falhas antigas e novas.
Boas práticas para endurecer o ambiente SD-WAN
Além das recomendações da Cisco, empresas podem adotar um conjunto de boas práticas para reduzir a probabilidade e o impacto de ataques à infraestrutura SD-WAN:
1. Segmentação rigorosa da rede de gestão
Isolar o plano de controle (gestão) do SD-WAN do tráfego de usuário e de produção, garantindo que apenas administradores autorizados tenham acesso, a partir de estações e redes confiáveis.
2. Inventário e ciclo de vida de versões
Manter inventário atualizado das versões em uso, do estado de patching e dos módulos habilitados, com processos formais para atualização contínua e avaliação de risco quando patches críticos são divulgados.
3. Testes de segurança regulares
Incluir o SD-WAN em rotinas de pentest, análises de vulnerabilidade e revisões de arquitetura, para identificar configurações fracas, exposição indevida de interfaces e riscos adicionais não cobertos apenas por patches de fabricante.
4. Gestão de identidades e acessos centralizada
Integrar o SD-WAN Manager a diretórios corporativos e soluções de IAM, com autenticação forte, revisão periódica de privilégios e trilha de auditoria consolidada.
5. Planos de resposta a incidentes específicos para SD-WAN
Definir, documentar e testar playbooks de resposta a incidentes que envolvam comprometimento de orquestradores de rede, incluindo procedimentos de isolamento, recuperação e rotação de credenciais.
Próximos passos para organizações afetadas
Empresas que utilizam o Cisco Catalyst SD-WAN Manager devem, de imediato:
– Verificar qual versão do produto está em operação e compará-la com as versões corrigidas disponibilizadas pela Cisco.
– Planejar e executar a atualização, com prioridade máxima em ambientes voltados para produção.
– Revisar regras de firewall, listas de controle de acesso e formas de exposição externa do portal de gestão.
– Conduzir uma análise retrospectiva de logs dos últimos meses em busca de artefatos ou comportamentos compatíveis com as técnicas descritas (elevação de privilégio, uso atípico da API, modificações sem registro).
– Incluir essas vulnerabilidades e o ator UAT-8616 no radar de threat hunting interno, aproveitando indicadores de técnicas e táticas já conhecidos (mesmo sem IOCs públicos detalhados).
A combinação de exploração ativa, ator de ameaça avançado e foco em um componente central da infraestrutura de rede coloca essas falhas entre as mais críticas do momento. Para muitas organizações, a diferença entre um incidente contido e uma invasão de grande impacto estará na velocidade com que as medidas de correção e endurecimento forem colocadas em prática.