CVE-2026-20127: Zero-Day Cisco SD-WAN Explorados Desde 2023

Novo dia, nova vulnerabilidade em destaque. Estamos, mais uma vez, vendo o quão rapidamente falhas armadas em plataformas amplamente implantadas se transformam em risco operacional real. A cobertura dos bugs de máxima gravidade da Cisco (CVE-2025-20393, CVE-2026-20045), assim como o zero-day Dell RecoverPoint CVE-2026-22769, mostra que os atacantes estão priorizando cada vez mais a infraestrutura voltada para as bordas que controla discretamente os fluxos de tráfego, os caminhos de identidade e a disponibilidade de serviços.

Essa história continua com a CVE-2026-20127, uma falha crítica de bypass de autenticação que afeta o Cisco Catalyst SD-WAN Controller (anteriormente vSmart) e o Cisco Catalyst SD-WAN Manager (anteriormente vManage). A Cisco Talos relata que esta falha está sendo ativamente explorada e rastreia a atividade como UAT-8616, avaliando com alta confiança que um agente de ameaça altamente sofisticado tem explorado-a desde pelo menos 2023.

Relatório 2026 do Estado da Borda do GreyNoise mostra por que a exploração confirmada em sistemas de controle de rede voltados para a borda exige ação urgente. No segundo semestre de 2025, o GreyNoise observou 2,97 bilhões de sessões maliciosas de 3,8 milhões de IPs de origem únicos, visando a infraestrutura voltada para a internet, ressaltando a rapidez com que o tráfego de exploração escala uma vez que os atacantes focam em uma superfície exposta.

Inscreva-se na Plataforma de Inteligência de Detecção Nativa AI da SOC Prime, apoiada por tecnologias de ponta e pela melhor experiência em cibersegurança para superar as ameaças cibernéticas e construir uma postura de cibersegurança resiliente. Clique em Explorar Detecções para acessar a coleção abrangente de conteúdo SOC para detecção de exploração de vulnerabilidades, filtrada pela tag personalizada “CVE”.

Explorar Detecções

Detecções do conjunto de regras dedicadas podem ser aplicadas em várias plataformas de SIEM, EDR e Data Lake e estão mapeadas para o último MITRE ATT&CK® framework v18.1. As equipes de segurança também podem utilizar Uncoder AI para acelerar a engenharia de detecção end-to-end, gerando regras diretamente a partir de relatórios de ameaças ao vivo, refinando e validando generating rules directly from live threat reports, refining and validating a lógica de detecção, auto-visualizando Fluxos de Ataque, convertendo IOCs em consultas de caça personalizadas e traduzindo instantaneamente o código de detecção em diversos formatos de linguagem. converting IOCs into custom hunting queries, and instantly translating detection code across diverse language formats.

Análise CVE-2026-20127

A Cisco Talos descreve a CVE-2026-20127 como um problema que permite a um atacante remoto não autenticado burlar a autenticação e obter privilégios administrativos no sistema afetado ao enviar requisições manipuladas. O aviso público da Cisco vincula a causa raiz a um mecanismo de autenticação de peering que não está funcionando corretamente.

Uma exploração bem-sucedida pode permitir que um atacante se autentique em um Catalyst SD-WAN Controller como uma conta interna de alto privilégio, não-root, e use esse acesso para alcançar o NETCONF e manipular a configuração do tecido SD-WAN. Esse tipo de acesso ao plano de controle é exatamente o que torna os incidentes de SD-WAN tão disruptivos, pois os atacantes estão em posição de moldar como a rede se comporta.

Vários avisos de governos e parceiros descrevem um caminho comum pós-exploração. Após explorar a CVE-2026-20127, os atores foram observados adicionando um par legítimo e depois se movendo em direção ao acesso root e à persistência a longo prazo em ambientes de SD-WAN. A Talos acrescenta que parceiros de inteligência observaram uma escalada envolvendo um downgrade de versão de software, exploração da CVE-2022-20775, e depois a restauração para a versão original, uma sequência que pode complicar a detecção se as equipes apenas validarem a versão “atual” em execução.

Como a exploração é confirmada e afeta sistemas usados para gerenciar a conectividade entre sites e nuvens, a CISA emitiu a Diretiva de Emergência 26-03 para agências civis federais dos EUA, com uma exigência acelerada de concluir as ações requeridas até as 17:00 (ET) do dia 27 de fevereiro de 2026. O FedRAMP também transmitiu a mesma urgência para provedores de nuvem que suportam ambientes federais.

Mitigação CVE-2026-20127

De acordo com o aviso da Cisco, a CVE-2026-20127 afeta o Cisco Catalyst SD-WAN Controller e o Cisco Catalyst SD-WAN Manager independentemente da configuração do dispositivo, em todos os tipos de implantação:

• Implantação On-Prem
• Nuvem SD-WAN Gerenciada pela Cisco
• Nuvem SD-WAN Gerenciada pela Cisco – Gerenciado pela Cisco
• Nuvem SD-WAN Gerenciada pela Cisco – Ambiente FedRAMP
  
  

A Cisco também observa que não há soluções alternativas que resolvam completamente essa vulnerabilidade. A correção durável é a atualização para uma versão corrigida, com as versões exatas corrigidas listadas no aviso da Cisco na seção Software Corrigido .

Os usuários são instados a começar priorizando a correção como a única remediação completa e verificar se as correções estão realmente implementadas em todas as instâncias em escopo do Catalyst SD-WAN Controller e Manager.

Em seguida, para reduzir a superfície de ataque enquanto os usuários corrigem e validam, a CISA e a UK NCSC destacam a importância de restringir a exposição de rede, colocando componentes de controle do SD-WAN atrás de firewalls e isolando interfaces de gerenciamento de redes não confiáveis. Paralelamente, os logs do SD-WAN devem ser encaminhados para sistemas externos para que os atacantes não possam apagar facilmente as evidências locais.

Finalmente, é melhor tratar isso tanto como um evento de correção quanto de investigação. A Cisco recomenda auditar /var/log/auth.log em busca de entradas como “Chave pública aceita para vmanage-admin” vindo de endereços IP desconhecidos ou não autorizados, depois comparando esses IPs de origem com os IPs do Sistema configurados listados na interface do usuário do Manager (WebUI > Dispositivos > IP do Sistema). Se os usuários suspeitarem de comprometimento, a Cisco aconselha envolver o TAC da Cisco e coletar a saída do admin-tech (por exemplo, via request admin-tech) para que possa ser revisada.

Como a atividade relatada pode incluir downgrade de versão e comportamento de reinicialização inesperado como parte da cadeia pós-compromisso, a orientação pública também recomenda verificar os seguintes logs para indicadores de downgrade/reboot:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log
  
  

Para fortalecer a cobertura além das etapas de correção e mitigação, confie na Plataforma SOC Prime para acessar o maior conjunto de dados de inteligência de detecção do mundo, adotar um pipeline de ponta a ponta que abrange desde a detecção até a simulação, enquanto agiliza as operações de segurança e acelera os fluxos de trabalho de resposta, reduzindo a sobrecarga de engenharia e se antecipando às ameaças emergentes.