Cisco ha lanzado actualizaciones críticas para solucionar una vulnerabilidad zero-day en su plataforma Catalyst SD-WAN, identificada como CVE-2026-20127, que cuenta con una calificación de severidad CVSS de 10,0, la más alta posible. Este fallo impacta el plano de gestión y control de la SD-WAN, permitiendo que un usuario remoto sin credenciales pueda eludir autenticaciones y obtener acceso con privilegios administrativos. La vulnerabilidad afecta específicamente a los componentes Cisco Catalyst SD-WAN Controller y Manager, elementos esenciales que gestionan la topología y control de la red.
Desde 2023, se ha descubierto que esta vulnerabilidad ha sido explotada activamente, presentando un potencial significativo de riesgo. La gravedad del fallo radica en que no solo compromete componentes periféricos sino piezas centrales de la infraestructura de la red, y, además, no se dispone de mitigaciones alternativas temporales más allá de actualizar a las versiones corregidas del software.
Esta situación es exacerbada por la posibilidad de que la vulnerabilidad pueda ser explotada en combinación con un defecto anterior, CVE-2022-20775, que afecta la línea de comandos de Cisco SD-WAN Software. Los atacantes podrían emplear esta vulnerabilidad más antigua para realizar un downgrade del software a versiones vulnerables, ejecutar comandos con privilegios elevados, y restaurar la versión original, todo con el fin de complicar el análisis forense posterior.
Cisco Talos, el equipo de inteligencia de amenazas de la compañía, ha seguido de cerca esta actividad maliciosa, etiquetada como campaña UAT-8616. Las metodologías de ataque identificadas, como el movimiento lateral y la ocultación, subrayan no solo la sofisticación de los atacantes, sino su habilidad para persistir dentro de sistemas comprometidos mientras simulan actividad normal.
Para contrarrestar este riesgo, Cisco urge a los usuarios a actualizar a versiones que contengan las correcciones necesarias. INCIBE-CERT proporcionó un cronograma de actualizaciones, destacando versiones como 20.9.8.2 y 20.12.6.1, que deben ser aplicadas con prontitud para mitigar las vulnerabilidades. En particular, aquellos sistemas que exponen los controladores y gerentes a Internet son considerados como prioritarios para la aplicación de parches.
La detección de compromisos previos es también una prioridad. Administradores de sistemas deben monitorear eventos de peering sospechosos, accesos SSH anómalos y cambios inesperados en las configuraciones del sistema para identificar indicios de posible explotación. También se recomienda una revisión exhaustiva de los logs en busca de actividades irregulares que puedan indicar tentativa u obtención de acceso no autorizado.
Este incidente resalta el creciente enfoque de los ciberdelincuentes hacia la infraestructura crítica de red como objetivo de sus ataques, especialmente aquellas que permiten control centralizado de las operaciones de red como las SD-WAN, VPN y gateways. Las organizaciones deben prepararse para enfrentar estas amenazas a través de actualizaciones diligentes y un fuerte enfoque en la seguridad proactiva y el monitoreo continuo.
