X-twitter

Cisco corrige un zero-day crítico en Catalyst SD-WAN explotado desde 2023: sin “parches temporales”, toca actualizar ya

Twitter/XLinkedInMenéameChatGPTClaudePerplexityGoogle AIGrok

Cisco ha publicado correcciones para una vulnerabilidad crítica catalogada como zero-day en su plataforma Catalyst SD-WAN, identificada como CVE-2026-20127 y con una puntuación CVSS 10,0. El fallo afecta al plano de gestión y control —el “cerebro” de una malla SD-WAN— y, según la información divulgada por Cisco Talos y organismos de ciberseguridad, habría sido explotado activamente desde 2023. La implicación práctica es seria: un atacante remoto sin credenciales podría saltarse la autenticación y obtener acceso con privilegios administrativos en componentes centrales del despliegue.

El matiz que eleva el riesgo es doble. Primero, no hablamos de un equipo periférico, sino de piezas que orquestan políticas, rutas y comportamiento de la red. Segundo, Cisco y los avisos de respuesta a incidentes coinciden en un punto incómodo para los equipos de sistemas: no hay mitigaciones alternativas (“workaround”) que permitan ganar tiempo con un simple ajuste. La respuesta prioritaria es actualizar.

Qué productos están afectados y por qué es tan peligroso

La vulnerabilidad impacta en Cisco Catalyst SD-WAN Controller (antes vSmart) y Cisco Catalyst SD-WAN Manager (antes vManage), es decir, los componentes que gobiernan la topología y el control de la SD-WAN. La descripción técnica publicada por NVD es explícita: el problema está en la autenticación de peering, lo que permitiría a un atacante remoto no autenticado evadirla y obtener privilegios administrativos.

En términos operativos, esto puede traducirse en un escenario especialmente dañino: acceso al plano de control y gestión y capacidad de modificar configuraciones que afectan a toda la malla (políticas, rutas, alta/baja de nodos, parámetros de conectividad). En investigaciones y resúmenes técnicos se menciona la posibilidad de interactuar con interfaces de gestión como NETCONF (habitualmente en el puerto 830) para manipular la infraestructura desde dentro, una vez superada la puerta de entrada.

Una explotación “silenciosa” atribuida a UAT-8616

Cisco Talos, el equipo de inteligencia de amenazas de la compañía, afirma estar siguiendo esta actividad como la campaña UAT-8616, y asegura haber encontrado evidencias de que la explotación se remonta al menos tres años atrás (2023). En el análisis se describe un patrón clásico de compromiso de infra de red: tras el acceso inicial, el atacante busca persistencia, movimiento lateral y ocultación, tratando de parecer parte “normal” del sistema.

Entre las señales y tácticas descritas en guías de caza y resúmenes de incident response aparecen comportamientos que deberían poner en alerta a cualquier SOC o equipo de redes:

  • Eventos de peering sospechosos (conexiones de control que parecen legítimas, pero ocurren en horarios extraños, desde IPs no reconocidas o con tipos de peer que no encajan).
  • Creación de cuentas locales que imitan nombres legítimos.
  • Inserción de claves SSH (por ejemplo, en authorized_keys) para cuentas privilegiadas.
  • Cambios en scripts de arranque o ajustes que facilitan persistencia.
  • Limpieza o truncado de logs, con archivos anormalmente pequeños o históricos ausentes.

La lógica del atacante es evidente: en una SD-WAN, el plano central es la llave de todo. Comprometerlo ofrece una visibilidad privilegiada y capacidad de impacto transversal sin necesidad de tocar cada borde uno a uno.

El “combo” con CVE-2022-20775: downgrade para escalar privilegios

Uno de los puntos más preocupantes del caso es la posible combinación con una vulnerabilidad anterior: CVE-2022-20775, asociada a la CLI de Cisco SD-WAN Software y capaz de permitir ejecución de comandos con privilegios elevados en determinadas condiciones. Según Talos y guías asociadas, el actor habría usado el mecanismo de actualización integrado para hacer downgrade a versiones vulnerables, explotar para escalar privilegios (incluido acceso root en algunos escenarios) y después restaurar la versión original, complicando el análisis forense.

Este tipo de técnica no es solo “ingeniosa”: es una señal de madurez operativa. No persigue solo entrar, sino entrar, ampliar control y dejar el menor rastro posible.

Qué hacer ahora: priorizar exposición y actualizar por rama

Los avisos públicos insisten en que la respuesta más efectiva es actualizar o migrar a versiones corregidas. El aviso de INCIBE-CERT, publicado el 26/02/2026, detalla ramas afectadas y versiones objetivo de actualización. Entre otras recomendaciones, indica que:

  • Si se está en 20.9, la corrección llegaría con 20.9.8.2 (con fecha estimada de salida el 27/02/2026).
  • Para 20.11, se recomienda actualizar a 20.12.6.1.
  • Para 20.12.5 y 20.12.6, actualizar a 20.12.5.3 y 20.12.6.1.
  • Para 20.13 / 20.14 / 20.15, actualizar a 20.15.4.2.
  • Para 20.16 / 20.18, actualizar a 20.18.2.1.
  • En versiones anteriores a 20.9, se recomienda migrar a una versión corregida con soporte.

Además, Talos recomienda priorizar especialmente los Controller/Manager expuestos a Internet y auditar cualquier acceso de administración o peering no esperado.

Detección rápida: qué mirar antes de que sea tarde

En incidentes de este tipo, la pregunta real de un administrador no es solo “¿estoy parcheado?”, sino “¿me han tocado ya?”. Las guías técnicas recomiendan empezar por lo más “caro” para un atacante: el acceso inicial.

  • Revisar logs de control-connection/peering y validar que cada evento corresponde a IPs, ventanas de mantenimiento y roles esperados.
  • Buscar accesos anómalos por SSH y señales como claves no autorizadas en cuentas críticas.
  • Vigilar indicios de downgrade/upgrade inesperados acompañados de reinicios.
  • Tratar con sospecha extrema cualquier evidencia de borrado de huellas (logs truncados, historiales ausentes, etc.).

A nivel de estrategia, el caso refuerza una realidad que se repite en 2026: los atacantes han convertido los dispositivos de borde y control (SD-WAN, VPN, firewalls, gateways) en objetivos prioritarios. No por “romper la red”, sino por quedarse dentro.

Preguntas frecuentes

¿Qué es CVE-2026-20127 y por qué es crítico en Cisco Catalyst SD-WAN?
Es un zero-day con CVSS 10,0 que permite a un atacante remoto sin credenciales eludir la autenticación de peering y obtener privilegios administrativos en componentes centrales (Controller/Manager).

¿Cómo saber si un Cisco vManage/vSmart ha sido comprometido por este fallo?
Revisando eventos de peering/control-connection inesperados, accesos SSH anómalos (incluidas claves añadidas a authorized_keys), logs truncados y señales de downgrade/upgrade no autorizados.

¿Qué versiones corrigen CVE-2026-20127 en Catalyst SD-WAN?
Depende de la rama. INCIBE-CERT detalla actualizaciones recomendadas como 20.12.6.1, 20.15.4.2 o 20.18.2.1, y migración en ramas antiguas sin soporte.

¿Por qué se menciona NETCONF (puerto 830) en este incidente?
Porque tras el bypass de autenticación, el atacante podría usar interfaces de gestión como NETCONF para modificar configuración crítica de la malla SD-WAN.

vía: The Hackers News y Cisco

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Noticias Cloud

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

Cisco corrige un zero-day crítico en Catalyst SD-WAN explotado desde 2023: sin “parches temporales”, toca actualizar ya

OpenAI cierra una financiación histórica de 110.000 millones y dispara su valoración a 840.000 millones

El Pentágono acelera la “IA en producción”: Claude, ChatGPT, Gemini y Grok compiten por el corazón (y el control) de la defensa de EE. UU.

Scrapling apuesta por un scraping “autorreparable” en Python: parser adaptativo, spiders y una API unificada

Las últimas novedades de tecnología y cloud

Suscríbete gratis al boletín de Revista Cloud. Cada semana la actualidad en tu buzón.

Suscripción boletín
×