O roteador Cisco SD-WAN que conecta filiais de empresas ao redor do mundo tornou-se o alvo mais cobiçado de 2026. Sete vulnerabilidades já foram confirmadas em exploração ativa, a CISA emitiu uma rara Diretiva de Emergência, e um grupo identificado como UAT-8616 continua a comprometer redes corporativas com acesso administrativo total, sem precisar de senha alguma.
Síntese rápida
| Ponto-chave | Detalhe |
|---|---|
| CVE mais recente | CVE-2026-20182 — CVSS 10.0, bypass de autenticação remoto |
| Total no catálogo KEV da CISA | 7 vulnerabilidades do Cisco SD-WAN confirmadas em exploração |
| Ameaça atribuída | UAT-8616, grupo sofisticado rastreado pela Cisco Talos |
| Resposta oficial | Diretiva de Emergência ED-26-03 da CISA (25 de fevereiro de 2026) |
| Prazo de correção | 3 dias para agências federais dos EUA após inclusão no KEV |
| Solução alternativa | Nenhuma — apenas atualização de software resolve |
A falha que abre tudo
A vulnerabilidade CVE-2026-20182 recebeu nota máxima de gravidade: CVSS 10.0. Trata-se de um bypass de autenticação no mecanismo de peering authentication do Cisco Catalyst SD-WAN Controller e do SD-WAN Manager. Em termos práticos, um atacante remoto, sem credenciais, envia pacotes especialmente elaborados e consegue privilégios administrativos no sistema afetado, conforme o aviso oficial da Cisco.
A gravidade se deve à arquitetura do SD-WAN. O Controller é o cérebro que decide como o tráfego circula entre matrizes e filiais. Quem domina o Controller domina toda a malha de comunicação. A Cisco confirma que a falha afeta todos os modelos de implantação, incluindo servidores locais, nuvem gerenciada pela própria Cisco e até o ambiente FedRAMP do governo dos Estados Unidos.
A vulnerabilidade foi descoberta pela equipe da Rapid7 durante a análise da falha anterior CVE-2026-20127. Os pesquisadores comunicaram o problema à Cisco em 9 de março de 2026. O patch só chegou em 14 de maio — mais de dois meses de janela de exposição para quem já estava sob ataque. Esta não é a primeira vez que o SD-WAN da Cisco enfrenta essa crise: o registro do sétimo zero-day sem patch em 2026 já havia sido documentado no início de junho.
Quem está por trás dos ataques
A Cisco Talos, divisão de inteligência de ameaças da empresa, atribuiu a exploração de CVE-2026-20182 e CVE-2026-20127 a um grupo que rastreia como UAT-8616. A Talos descreve a operação como altamente sofisticada, mas não revelou motivações, país de origem ou ligações com grupos já conhecidos, conforme reportado pelo SecurityWeek.
O comportamento pós-invasão do grupo é metódico. Após obter acesso, os atacantes adicionam chaves SSH para garantir persistência, modificam configurações via protocolo NETCONF e tentam escalar para privilégios de root. A infraestrutura usada pelo grupo se sobrepõe a redes de Operational Relay Box (ORB) — servidores intermediários que mascaram a origem real dos ataques, uma tática típica de operações patrocinadas por Estados.
Além de UAT-8616, a Talos identificou pelo menos 10 clusters de atividade distintos explorando vulnerabilidades do SD-WAN para entregar criptomineradores, roubadores de credenciais, backdoors e webshells. Ou seja, não é apenas um grupo isolado: o produto virou um ecossistema de oportunidades para múltiplos atacantes.
A diretiva de emergência da CISA
Quando a CISA emite uma Diretiva de Emergência, é porque a ameaça é grave o suficiente para não esperar os prazos normais de correção. A Diretiva ED-26-03, publicada em 25 de fevereiro de 2026 e atualizada em 11 de março, exigiu que todas as agências federais dos EUA inventariassem seus sistemas SD-WAN, coletassem logs de diagnóstico e aplicassem correções em uma ordem específica.
A diretiva foi atualizada porque novas vulnerabilidades continuaram surgindo. Cada novo CVE adicionado ao catálogo KEV da CISA vem acompanhado de um prazo de remediação de apenas três dias para agências federais — um prazo que reflete a urgência real da ameaça. O KEV registra atualmente sete vulnerabilidades de Cisco SD-WAN com exploração confirmada, um padrão que já havia sido destacado quando a CISA incluiu três falhas com exploit ativo no catálogo em junho.
Linha do tempo das sete falhas
| CVE | Tipo | Entrou no KEV | Gravidade |
|---|---|---|---|
| CVE-2022-20775 | Path traversal (escalação local) | 25/02/2026 | Alta |
| CVE-2026-20127 | Bypass de autenticação remoto | 25/02/2026 | Crítica |
| CVE-2026-20122 | Uso indevido de APIs privilegiadas | 20/04/2026 | Alta |
| CVE-2026-20128 | Senhas armazenadas de forma recuperável | 20/04/2026 | Média |
| CVE-2026-20133 | Exposição de dados sensíveis | 20/04/2026 | Alta |
| CVE-2026-20182 | Bypass de autenticação remoto | 14/05/2026 | Crítica (CVSS 10.0) |
| CVE-2026-20245 | Codificação imprópria (execução como root) | 09/06/2026 | Alta |
A frequência é alarmante. Três falhas entraram no KEV no mesmo dia, 20 de abril. A mais recente, CVE-2026-20245, foi adicionada em 9 de junho de 2026. Nenhum sinal indica que a cadeia vai parar — a superfície de ataque do SD-WAN continua rendendo vulnerabilidade após vulnerabilidade.
Por que o SD-WAN virou alvo
O SD-WAN substituiu os roteadores tradicionais MPLS em milhares de empresas porque promete gerência centralizada, redução de custo e flexibilidade de tráfego. O Cisco Catalyst SD-WAN detém uma fatia significativa desse mercado. A consequência direta: um único Controller comprometido dá ao atacante visibilidade e controle sobre a comunicação entre todas as unidades de uma organização.
Para corporações com dezenas de filiais conectadas via SD-WAN, isso significa que um invasor pode interceptar tráfego, redirecionar conexões, isolar departamentos inteiros ou abrir backdoors persistentes na infraestrutura — tudo a partir de um único ponto de entrada. A Cisco alerta que aplicar o patch não basta se o sistema já estiver comprometido: é necessário seguir os passos de remediação do Cisco TAC para garantir que chaves SSH maliciosas e configurações alteradas sejam removidas. Outras infraestruturas de rede também estão sob pressão similar — o zero-day na VPN da Check Point com prova de conceito pública é um lembrete de que produtos de rede corporativa seguem no centro do fogo.
O que fazer agora
- Inventarie todos os dispositivos SD-WAN. Inclua Controller, Manager e todo equipamento de borda. Sem visibilidade completa, não há proteção.
- Verifique exposição à internet. A Cisco confirma que sistemas com portas expostas estão em risco máximo. Colete logs com o comando
request admin-techantes de qualquer atualização. - Aplique os patches mais recentes. Não há solução alternativa para CVE-2026-20182 — apenas a atualização de software resolve. Consulte a página oficial de advisory da Cisco para identificar as versões corrigidas.
- Hunte por indicadores de comprometimento. Procure chaves SSH não autorizadas, alterações em configurações NETCONF e conexões suspeitas. A Cisco e a CISA publicaram IoCs específicos.
- Isole sistemas comprometidos. Se encontrar evidências de invasão, isole o dispositivo da rede. Reinstalar o software sem limpar a persistência instalada pelo atacante não resolve o problema.
- Revise o acesso administrativo. Verifique contas, certificados e credenciais de peering em toda a malha SD-WAN.
Referências
- Cisco Security Advisory — CVE-2026-20182 (CVSS 10.0)
- SecurityWeek — Cisco Patches Another SD-WAN Zero-Day, the Sixth Exploited in 2026
- CISA — Diretiva de Emergência ED-26-03: Mitigate Vulnerabilities in Cisco SD-WAN Systems
- CISA — Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV)
- NVD — National Vulnerability Database: CVE-2026-20182
- CISA — Hunt and Hardening Guidance for Cisco SD-WAN Devices