Cisco alerta para exploração ativa de duas falhas críticas no Catalyst SD-WAN Manager
A Cisco emitiu na quinta-feira (5) uma atualização importante ao seu aviso de segurança para informar que duas vulnerabilidades já corrigidas no Catalyst SD-WAN Manager estão atualmente sob exploração ativa por atacantes. As falhas, rastreadas como CVE-2026-20128 e CVE-2026-20122, fazem parte de um pacote de cinco correções disponibilizadas em 25 de fevereiro, mas o novo alerta indica que nem todas as organizações aplicaram os patches a tempo.
—
Quais são as falhas em exploração no Catalyst SD-WAN Manager?
A vulnerabilidade CVE-2026-20128 afeta a funcionalidade Data Collection Agent (DCA). Trata-se de um problema de divulgação indevida de informações, ligado a um ficheiro de credenciais exposto no sistema. Segundo a Cisco, um atacante com acesso local e autenticado é capaz de obter essas credenciais e, a partir delas, assumir privilégios de utilizador DCA no ambiente afetado.
Já a CVE-2026-20122 é um bug de sobrescrita arbitrária de ficheiros na API do Catalyst SD-WAN Manager. Nesse caso, o cenário é ainda mais preocupante: um invasor remoto, autenticado apenas com permissões de leitura, pode explorar a falha para sobrescrever ficheiros no sistema. Essa capacidade abre caminho para a elevação de privilégios e potencial controlo mais amplo da plataforma.
A Cisco não divulgou detalhes técnicos profundos sobre os ataques observados, mas a forma como descreve o cenário indica que essas vulnerabilidades podem estar a ser exploradas em conjunto, numa cadeia de ataque onde uma falha prepara o terreno para a exploração da outra.
—
Contexto: zero-day crítico explorado desde 2023
O novo alerta surge logo após uma outra revelação preocupante: a existência de uma vulnerabilidade crítica de dia zero, a CVE-2026-20127, também no Catalyst SD-WAN, explorada desde 2023. De acordo com informações de autoridades de cibersegurança, essa falha foi combinada com uma vulnerabilidade anterior, a CVE-2022-20775, para contornar mecanismos de autenticação e escalar privilégios dentro dos sistemas afetados.
Esse encadeamento de falhas demonstra um alto grau de sofisticação por parte dos atacantes, que não dependem de um único bug, mas constroem cadeias complexas para maximizar o impacto, manter persistência e dificultar a detecção.
—
Ator de ameaça sofisticado em ação
As investigações conduzidas pela Cisco Talos ligam esses incidentes ao grupo designado como UAT-8616, um ator de ameaça avançado que atua pelo menos desde 2023. O perfil atribuído ao grupo sugere capacidade técnica elevada, conhecimento profundo de infraestruturas de rede e foco em alvos estratégicos, o que levanta a possibilidade de campanhas direcionadas contra organizações de grande porte, provedores de serviços e ambientes críticos.
Ainda não está claro se todas as vulnerabilidades agora mencionadas – CVE-2026-20128, CVE-2026-20122 e CVE-2026-20127, bem como a CVE-2022-20775 – foram exploradas nas mesmas operações maliciosas ou em ondas distintas. No entanto, o padrão observado reforça a necessidade de tratar o ecossistema Catalyst SD-WAN como alvo prioritário de medidas de endurecimento e monitorização.
—
O que está em risco: roubo de credenciais e controlo do sistema
As duas novas falhas exploradas ativamente têm impacto direto na confidencialidade, integridade e disponibilidade do ambiente SD-WAN:
– Na CVE-2026-20128, o acesso indevido ao ficheiro de credenciais permite que o atacante assuma a identidade de componentes do sistema (como o DCA), facilitando movimentos laterais e acesso a dados sensíveis.
– Na CVE-2026-20122, a sobrescrita arbitrária de ficheiros possibilita manipular configurações, introduzir backdoors, alterar logs ou mesmo corromper componentes críticos, abrindo espaço para tomada de controlo do gestor SD-WAN.
Em ambientes corporativos, o Catalyst SD-WAN Manager costuma ser o “cérebro” da conectividade entre filiais, data centers e aplicações em nuvem. Comprometer essa camada significa, em última instância, ter uma porta de entrada privilegiada para toda a rede corporativa, com potencial para espionagem, interrupção de serviços e ataques de ransomware em larga escala.
—
Atualizações liberadas pela Cisco
Para mitigar o risco, a Cisco disponibilizou correções nas seguintes versões do Catalyst SD-WAN Manager:
– 20.9.8.2
– 20.12.5.3
– 20.12.6.1
– 20.15.4.2
– 20.18.2.1
Organizações que utilizam versões anteriores a estas permanecem expostas às falhas sob exploração. A orientação da fabricante é clara: aplicar as atualizações o mais rapidamente possível, priorizando ambientes expostos à internet ou a redes de terceiros.
—
Recomendações imediatas para administradores
Além da instalação dos patches, a Cisco recomenda explicitamente:
– Restringir o acesso à internet do portal SD-WAN Manager, expondo-o apenas quando estritamente necessário e, preferencialmente, por meio de VPNs e controles de acesso adicionais.
– Monitorizar cuidadosamente os logs em busca de comportamento anómalo, como tentativas repetidas de autenticação, acessos fora de horário, operações de API inesperadas ou modificações não autorizadas em ficheiros de configuração.
Administradores devem ainda rever perfis de permissão dos utilizadores, eliminando contas obsoletas, reduzindo privilégios excessivos e reforçando o uso de autenticação multifator, sobretudo para contas administrativas e de acesso remoto.
—
Boas práticas específicas para ambientes SD-WAN
Dado que o SD-WAN conecta múltiplos pontos da infraestrutura de uma organização, uma falha nessa camada pode ter efeito cascata. Algumas boas práticas adicionais incluem:
– Segmentação de gestão: manter a interface de gestão SD-WAN em redes administrativas separadas, não acessíveis diretamente a partir da rede corporativa comum ou da internet.
– Inventário e visibilidade: mapear todos os controladores, orquestradores e dispositivos geridos pelo Catalyst SD-WAN Manager, garantindo que não existam instâncias “esquecidas” sem atualização.
– Políticas de alteração controladas: implementar processos formais para alterações de configuração, com registo e revisão, de modo a identificar rapidamente mudanças suspeitas que possam indicar exploração de falhas.
—
Detecção e resposta a incidentes
Considerando que algumas dessas vulnerabilidades vêm sendo exploradas desde 2023, é fundamental não presumir que a simples aplicação do patch resolve o problema por completo. As equipas de segurança devem:
– Realizar uma análise retrospetiva de logs para identificar sinais de exploração anterior.
– Verificar se houve criação de novas contas administrativas, alteração de chaves ou certificados, mudanças incomuns de configuração e implantação de scripts ou binários desconhecidos no ambiente SD-WAN.
– Caso sejam detetados indícios de comprometimento, seguir um plano de resposta a incidentes, incluindo isolamento de sistemas afetados, recolha de evidências, rotação de credenciais e comunicação estruturada com as áreas de negócio impactadas.
—
Impacto estratégico para as organizações
O caso do Catalyst SD-WAN evidencia uma tendência cada vez mais forte: atacantes avançados estão a direcionar esforços para camadas de gestão de rede e de nuvem, em vez de se concentrarem apenas em endpoints tradicionais ou servidores isolados. Ao comprometer a plataforma de orquestração, ganham uma posição privilegiada para controlar tráfego, redirecionar comunicações, interceptar dados e implantar malware de forma centralizada.
Para as empresas, isso significa que a segurança de ferramentas de gestão – como controladores SD-WAN, consoles de administração de nuvem e plataformas de monitorização – deve ser tratada como prioridade máxima, com o mesmo ou até maior nível de rigor aplicado a sistemas críticos de negócio.
—
Próximos passos para equipes de segurança e TI
Em resposta a este cenário, as organizações devem:
1. Confirmar a versão do Catalyst SD-WAN Manager em uso e planear a atualização para uma das versões corrigidas mencionadas pela Cisco.
2. Reforçar a governança de vulnerabilidades, integrando o ciclo de atualização de appliances de rede ao mesmo nível de prioridade dos servidores de aplicação.
3. Promover campanhas internas de conscientização entre as equipas técnicas, destacando o risco de deixar interfaces de gestão expostas e contas com privilégios excessivos.
4. Rever a arquitetura de segurança, incorporando soluções de monitorização profunda de tráfego e de comportamento em ambientes SD-WAN.
—
A combinação de exploração ativa, cadeia de vulnerabilidades descobertas em anos diferentes e envolvimento de um ator de ameaça avançado coloca o Catalyst SD-WAN no centro das atenções. Para quem depende dessa tecnologia na conectividade corporativa, a mensagem é inequívoca: atualizar, restringir, monitorizar e investigar não são apenas boas práticas – são ações urgentes para manter o controlo e a segurança da infraestrutura de rede.