Advertencia sobre explotación activa de vulnerabilidades en Catalyst SD-WAN
Publicado el
Cisco ha alertado sobre la explotación activa de dos vulnerabilidades en Catalyst SD-WAN Manager, anteriormente conocido como SD-WAN vManage. Las vulnerabilidades identificadas son:
- CVE-2026-20122 (CVSS: 7.1): Permite a un atacante remoto autenticado sobrescribir archivos arbitrarios en el sistema de archivos local. Para explotar esta vulnerabilidad, el atacante debe contar con credenciales de solo lectura y acceso API en el sistema afectado. - CVE-2026-20128 (CVSS: 5.5): Facilita la divulgación de información, lo que podría permitir a un atacante local autenticado obtener privilegios de usuario de Data Collection Agent (DCA) en el sistema afectado. La explotación requiere que el atacante tenga credenciales válidas de vManage.
Cisco publicó parches para estas vulnerabilidades, así como para otras tres (CVE-2026-20126, CVE-2026-20129 y CVE-2026-20133) a finales del mes pasado. Las versiones con correcciones son las siguientes: - Versiones anteriores a 20.91: Migrar a una versión corregida. - Versión 20.9: Corregido en 20.9.8.2. - Versión 20.11: Corregido en 20.12.6.1. - Versión 20.12: Corregido en 20.12.5.3 y 20.12.6.1. - Versión 20.13: Corregido en 20.15.4.2. - Versión 20.14: Corregido en 20.15.4.2. - Versión 20.15: Corregido en 20.15.4.2. - Versión 20.16: Corregido en 20.18.2.1. - Versión 20.18: Corregido en 20.18.2.1.
En marzo de 2026, el equipo de respuesta a incidentes de Cisco (PSIRT) se percató de la explotación activa de estas vulnerabilidades. Sin embargo, la compañía no proporcionó detalles sobre el alcance de la actividad ni sobre los posibles responsables.
Dada esta situación, se recomienda a los usuarios que actualicen a una versión de software corregida lo antes posible y que implementen medidas para limitar el acceso desde redes no seguras. Entre las recomendaciones se incluyen: - Asegurar los dispositivos detrás de un firewall. - Desactivar HTTP en el portal de administración de Catalyst SD-WAN Manager. - Deshabilitar servicios de red como HTTP y FTP si no son necesarios. - Cambiar la contraseña de administrador por defecto. - Monitorear el tráfico de logs para detectar cualquier actividad inusual.
Esta notificación se produce una semana después de que Cisco anunciara una vulnerabilidad crítica en Catalyst SD-WAN Controller y Catalyst SD-WAN Manager (CVE-2026-20127, CVSS: 10.0), que ha sido explotada por un actor de ciberamenaza altamente sofisticado identificado como UAT-8616, para establecer accesos persistentes en organizaciones de alto valor.
Adicionalmente, Cisco lanzó actualizaciones esta semana para abordar dos vulnerabilidades de máxima gravedad en Secure Firewall Management Center (CVE-2026-20079 y CVE-2026-20131, CVSS: 10.0), que podrían permitir a un atacante remoto no autenticado eludir la autenticación y ejecutar código Java arbitrario como root en un dispositivo afectado.