Cisco corrige falha crítica (CVSS 10.0) em Catalyst SD-WAN já explorada como zero-day

A Cisco alertou para uma falha crítica de bypass de autenticação no Catalyst SD-WAN Controller, registrada como CVE-2026-20182 e com pontuação CVSS máxima de 10.0. A vulnerabilidade já foi explorada como zero-day em maio, permitindo que atacantes obtivessem privilégios administrativos em equipamentos comprometidos. A CISA adicionou a falha ao seu catálogo KEV e exigiu que agências federais americanas apliquem o patch até 17 de maio de 2026.

O alerta da Cisco

Em um aviso publicado nesta semana, a Cisco confirmou que CVE-2026-20182 afeta o Cisco Catalyst SD-WAN Controller e o Cisco Catalyst SD-WAN Manager, tanto em implantações on-premise quanto na nuvem SD-WAN. A empresa detectou atores maliciosos explorando a brecha em maio, mas não divulgou detalhes específicos sobre como o ataque ocorreu.

De acordo com o advisory, a vulnerabilidade tem origem em um mecanismo de autenticação de peering que “não está funcionando corretamente”:

“Esta vulnerabilidade existe porque o mecanismo de autenticação de peering em um sistema afetado não está funcionando corretamente. Um atacante poderia explorar essa vulnerabilidade enviando requisições especialmente construídas ao sistema afetado. Uma exploração bem-sucedida permitiria ao atacante fazer login em um Cisco Catalyst SD-WAN Controller afetado como uma conta de usuário interna não-root e altamente privilegiada. Usando essa conta, o atacante poderia acessar o NETCONF, o que então permitiria manipular a configuração de rede do fabric SD-WAN.” — Cisco

O que é o Catalyst SD-WAN

O Cisco Catalyst SD-WAN é uma plataforma de rede definida por software que conecta filiais, data centers e ambientes de nuvem através de um sistema centralizado de gerenciamento. Ele usa um controlador para rotear tráfego com segurança entre sites por meio de conexões criptografadas — exatamente o componente que foi atacado.

Como o ataque acontece

Os indicadores de comprometimento (IOCs) compartilhados pela Cisco apontam para eventos de peering não autorizados nos logs do SD-WAN Controller — sinal de tentativas de registrar dispositivos clandestinos dentro do fabric SD-WAN.

Ao adicionar um peer malicioso, o atacante consegue inserir um dispositivo controlado por ele dentro do ambiente SD-WAN que aparenta ser legítimo. Esse dispositivo pode então estabelecer conexões criptografadas e anunciar redes sob o controle do invasor, permitindo movimento lateral e exfiltração profunda dentro do ambiente da organização.

Origem da descoberta e histórico

A falha foi encontrada pela Rapid7 durante a pesquisa de outra vulnerabilidade na mesma família — a CVE-2026-20127, corrigida pela Cisco em fevereiro. Esta brecha anterior já vinha sendo explorada desde 2023 por um ator de ameaça rastreado como “UAT-8616”, que a usava precisamente para criar peers clandestinos dentro de organizações-alvo.

O padrão sugere que grupos estado-nação ou cibercriminosos sofisticados estão sistematicamente caçando falhas em controladores SD-WAN — uma posição privilegiada na arquitetura de rede que oferece visibilidade total e capacidade de redirecionar tráfego entre filiais inteiras.

Resposta da Cisco e da CISA

A Cisco lançou atualizações de segurança para endereçar a vulnerabilidade e afirma que não há workarounds que mitiguem totalmente o problema — a única remediação efetiva é aplicar o patch.

A CISA (agência de cibersegurança dos EUA) adicionou a CVE-2026-20182 ao seu Known Exploited Vulnerabilities Catalog e determinou que agências federais americanas apliquem o patch até 17 de maio de 2026 — prazo apertado que reflete a gravidade real do problema.

Como verificar se você foi comprometido

A Cisco está pedindo às organizações que revisem logs de qualquer Catalyst SD-WAN Controller exposto à internet em busca de eventos que possam indicar acesso não autorizado ou peering suspeito. As recomendações de caça (threat hunting) incluem:

• Verificar /var/log/auth.log em busca de entradas mostrando "Accepted publickey for vmanage-admin" de endereços IP desconhecidos
• Comparar os endereços IP nos logs com os System IPs configurados no Cisco Catalyst SD-WAN Manager (em WebUI > Devices > System IP)
• Se um IP desconhecido autenticou com sucesso, considerar o dispositivo comprometido e abrir um chamado no Cisco TAC
• Revisar logs do SD-WAN Controller em busca de atividade de peering não autorizada (tentativas de registrar dispositivos clandestinos no fabric)

Recomendações de hardening

• Aplique imediatamente as atualizações de segurança publicadas pela Cisco
• Restrinja o acesso às interfaces de gerenciamento e plano de controle SD-WAN apenas a redes internas confiáveis ou endereços IP autorizados
• Revise logs de autenticação em busca de atividades suspeitas de login
• Implemente segmentação rigorosa entre o plano de gerenciamento e o plano de dados
• Monitore o fabric SD-WAN com alertas para novos peers e mudanças de configuração via NETCONF

Análise: o risco oculto dos planos de controle

Esta é a segunda vulnerabilidade crítica de autenticação no Catalyst SD-WAN em menos de 12 meses, ambas exploradas ativamente como zero-day. O caso ilustra um ponto cego clássico em arquiteturas SD-WAN: as organizações tendem a investir pesado em segurança nas edges (filiais, branches) enquanto deixam o controlador centralizado — o “cérebro” da rede — com configurações de exposição mais relaxadas.

Quando um atacante compromete o controlador, ele não está só dentro de uma máquina: ele está em condições de reconfigurar a topologia inteira de uma rede corporativa multi-site, redirecionar tráfego e estabelecer canais persistentes criptografados. Em ambientes regulados (financeiro, governo, saúde), esse é o tipo de exposição que justifica auditorias trimestrais dedicadas ao plano de controle.

Fonte: BleepingComputer