Vulnerabilidad crítica en Cisco Catalyst SD-WAN permite acceso no autorizado
Publicado el
Vulnerabilidad en Cisco Catalyst SD-WAN Controller
Cisco ha emitido una advertencia sobre una vulnerabilidad crítica en el Catalyst SD-WAN Controller, que permite a atacantes remotos eludir la autenticación y ganar acceso administrativo. Esta falla, identificada como CVE-2026-20182, tiene un CVSS de 10.0, lo que indica su severidad máxima.
La vulnerabilidad se origina en un fallo del mecanismo de autenticación entre pares del Catalyst SD-WAN Controller, anteriormente conocido como SD-WAN vSmart, y el SD-WAN Manager. Un atacante podría aprovechar esta debilidad enviando solicitudes manipuladas a un sistema afectado, logrando así acceder al controlador como un usuario interno con privilegios elevados.
Impacto de la vulnerabilidad
El impacto de esta vulnerabilidad abarca diversas implementaciones, incluyendo: - On-Prem Deployment - Cisco SD-WAN Cloud-Pro - Cisco SD-WAN Cloud (Cisco Managed) - Cisco SD-WAN for Government (FedRAMP)
Según Rapid7, que descubrió la vulnerabilidad, esta falla guarda relación con otra vulnerabilidad crítica, CVE-2026-20127, que ha sido explotada desde al menos 2023 por un actor de amenazas conocido como UAT-8616. Los investigadores de Rapid7, Jonah Burgess y Stephen Fewer, explican que aunque ambas vulnerabilidades afectan el servicio vdaemon sobre DTLS (UDP puerto 12346), la nueva vulnerabilidad no es un bypass de la anterior, sino que representa un problema diferente en la misma área del stack de red.
Recomendaciones de Cisco
Cisco ha indicado que a partir de mayo de 2026 se ha tenido conocimiento de explotaciones limitadas de esta vulnerabilidad. La compañía insta a los clientes a aplicar las últimas actualizaciones de seguridad de inmediato. Además, advierte que los sistemas del Catalyst SD-WAN Controller que son accesibles a través de Internet y tienen puertos expuestos corren un mayor riesgo de ser comprometidos.
Cisco recomienda que los usuarios auditen el archivo /var/log/auth.log en busca de entradas relacionadas con Accepted publickey for vmanage-admin desde direcciones IP no autorizadas. También se debe estar atento a eventos de emparejamiento sospechosos en los registros, como conexiones entre pares no autorizadas que ocurren en momentos inesperados y que provienen de direcciones IP no reconocidas.
Ante la gravedad de esta situación, es crucial que los administradores de redes tomen medidas inmediatas para proteger sus sistemas y mitigar el riesgo de explotación.