Seguir 
A Cisco divulgou um sétimo zero-day no SD-WAN explorado em 2026, rastreado como CVE-2026-20245. A falha afeta a interface de linha de comando do Cisco Catalyst SD-WAN Manager e pode permitir que um invasor remoto autenticado com privilégios de netadmin execute comandos arbitrários como root carregando um arquivo manipulado. A Cisco afirma que já foi observada exploração em casos limitados, incluindo incidentes onde alterações de configuração foram enviadas para dispositivos de borda.
O risco é amplificado pelos requisitos de acesso. A Cisco diz que o invasor já deve ter privilégios de netadmin, que podem vir de credenciais roubadas ou da cadeia de falhas SD-WAN divulgadas anteriormente, como CVE-2026-20182 ou CVE-2026-20127. Segundo a divulgação da Cisco, resumida pelo Help Net Security e SecurityWeek, a questão afeta todos os tipos de implementação do Cisco Catalyst SD-WAN, incluindo ambientes on-prem, Cloud-Pro, Cisco Managed Cloud e FedRAMP.
Análise do CVE-2026-20245
Para a análise do CVE-2026-20245, a principal fraqueza é a validação insuficiente de entrada fornecida pelo usuário no CLI do SD-WAN Manager. A descrição pública da Cisco afirma que um invasor autenticado pode carregar um arquivo manipulado e desencadear injeção de comandos, elevando, em última instância, privilégios para root no sistema afetado. O SecurityWeek acrescenta que o Cisco PSIRT soube sobre a exploração em junho de 2026, o que sugere que a divulgação foi acelerada porque o bug já estava sendo explorado em ambientes externos.
Os detalhes mais importantes para o CVE-2026-20245 são que isso não é um bug remoto não autenticado por si só, e que o caminho de exploração parece estar intimamente ligado à atividade de comprometimento do SD-WAN anterior. A Cisco não está ciente de exploração bem-sucedida por qualquer método que não seja obter primeiro o acesso privilegiado necessário, razão pela qual os defensores devem tratar o problema como parte de uma cadeia de intrusão SD-WAN mais ampla, em vez de um vetor de acesso inicial independente.
No momento da divulgação, as fontes citadas não apontavam para um PoC público do CVE-2026-20245, mas a Cisco confirmou a exploração ativa e afirmou que a Mandiant reportou a falha. Em termos práticos, a carga útil do CVE-2026-20245 do invasor é um arquivo manipulado carregado através do fluxo de trabalho CLI para desencadear a injeção de comandos e execução em nível de root, não um dropper de malware convencional entregue de fora do dispositivo.
Do ponto de vista operacional, o CVE-2026-20245 afeta alguns dos sistemas mais sensíveis em uma implementação de SD-WAN, pois o SD-WAN Manager está no plano de gestão. A Cisco disse que a exploração observada resultou em alterações de configuração enviadas para dispositivos de borda, o que significa que o abuso bem-sucedido pode se estender além do próprio nó de gestão e alterar o comportamento da infraestrutura de rede downstream.
Mitigação do CVE-2026-20245
Não havia patch e nenhuma solução alternativa disponível na divulgação, então a mitigação do CVE-2026-20245 está centrada no fortalecimento, preservação de evidências e revisão de comprometimento. As orientações da Cisco, conforme citado pelo Help Net Security, são de coletar dados admin-tech de cada componente de controle antes de qualquer atividade de atualização, então atualizar na primeira oportunidade e verificar a configuração dos dispositivos de borda. Esse conselho é importante porque as atualizações de software por si só podem não resolver completamente a situação se o sistema já foi comprometido.
A Cisco também publicou IOCs de CVE-2026-20245 na forma de orientações específicas de log. O Help Net Security afirma que os clientes devem rever esses logs e, se for confirmado o comprometimento, trabalhar diretamente com o Cisco TAC para etapas de remediação direcionadas. Da mesma forma, o SecurityWeek observa que a Cisco disponibilizou indicadores enquanto prepara uma futura versão do Catalyst SD-WAN Manager contendo a correção.
Para os defensores tentando detectar o CVE-2026-20245, a abordagem mais prática é revisar os appliances do SD-WAN Manager para sinais de atividade não autorizada em nível de root, uploads suspeitos de arquivos e empurrões inesperados de configuração para dispositivos de borda. Como a Cisco explicitamente vinculou o acesso pré-requisito a credenciais comprometidas ou bugs anteriores do SD-WAN, as organizações também devem validar que as falhas de autenticação e elevação de privilégio divulgadas anteriormente estão totalmente remediadas em todo o patrimônio.
De forma mais ampla, a detecção do CVE-2026-20245 deve ser tratada como resposta a incidentes em vez do gerenciamento de patches de rotina. Se os logs indicarem abuso, a Cisco alerta que, simplesmente instalando a futura correção de software, não será suficiente para proteger o ambiente, e os clientes devem envolver o TAC para orientações de recuperação adaptadas ao comprometimento confirmado.
FAQ
O que é CVE-2026-20245 e como funciona?
É uma vulnerabilidade de injeção de comandos no CLI do Cisco Catalyst SD-WAN Manager. A Cisco diz que um invasor com privilégios de netadmin pode carregar um arquivo manipulado para um sistema afetado e executar comandos arbitrários como root.
Quando o CVE-2026-20245 foi descoberto pela primeira vez?
A data de descoberta privada não foi divulgada publicamente nos relatos citados. O que é público é que a Cisco divulgou a falha em 5 de junho de 2026, disse que o PSIRT soube sobre a exploração em junho, e creditou a Mandiant com o relato da vulnerabilidade.
Qual é o impacto do CVE-2026-20245 nos sistemas?
A exploração bem-sucedida pode permitir a execução arbitrária de comandos como root no Cisco Catalyst SD-WAN Manager. A Cisco também afirmou que observou casos em que a exploração levou a alterações de configuração sendo enviadas para dispositivos de borda, aumentando o potencial de impacto na rede mais ampla.
O CVE-2026-20245 ainda pode me afetar em 2026?
Sim. Qualquer implementação afetada do Cisco Catalyst SD-WAN Manager ainda pode ser exposta em 2026 se permanecer sem patch e se um invasor puder obter os privilégios de netadmin necessários, seja através de credenciais roubadas ou vulnerabilidades SD-WAN encadeadas. Na divulgação, a Cisco ainda não havia lançado uma correção.
Como posso me proteger do CVE-2026-20245?
Preserve evidências com o processo de coleta admin-tech, revise os indicadores de log publicados pela Cisco, verifique as configurações dos dispositivos de borda, remedie quaisquer falhas de acesso SD-WAN vinculadas e aplique a futura versão corrigida da Cisco assim que estiver disponível. Se o comprometimento for confirmado, a Cisco recomenda trabalhar com o TAC, pois o simples patch pode não remediar completamente o sistema.
