Cisco confirmou que a vulnerabilidade CVE-2026-20262 no Catalyst SD-WAN Manager está sendo explorada ativamente por atacantes para escalada de privilégios root. A falha de escrita arbitrária de arquivos foi observada em ataques antes da divulgação pública, exigindo atualização imediata em sistemas críticos de infraestrutura corporativa em todo o mundo. Organizações devem aplicar patches em todas as versões 20.x, 21.x e 22.x do Catalyst SD-WAN Manager para prevenir comprometimento total da rede SD-WAN.
Como funciona o ataque
A CVE-2026-20262 é uma falha de validação de entrada durante o processo de upload de arquivos. O atacante precisa de credenciais válidas, mesmo que seja uma conta de usuário com privilégios baixos. Ao explorar a vulnerabilidade, o invasor pode escrever arquivos arbitrários no sistema, permitindo escalada de privilégios para root. Isso dá controle total sobre a plataforma SD-WAN usada para gerenciar redes corporativas em larga escala.
Versões afetadas
Cisco lançou atualizações de segurança para corrigir a falha. A tabela abaixo mostra as versões afetadas e as correções disponíveis:
| Versão | Status | Correção |
|---|---|---|
| Catalyst SD-WAN Manager 20.x | Vulnerável | Atualize para 20.13.2 ou superior |
| Catalyst SD-WAN Manager 21.x | Vulnerável | Atualize para 21.13.2 ou superior |
| Catalyst SD-WAN Manager 22.x | Vulnerável | Atualize para 22.6.1 ou superior |
Dados de exploração
A Cisco observou exploração ativa da vulnerabilidade durante testes de segurança internos, o que levanta questões sobre como atacantes obtiveram conhecimento da falha antes da divulgação pública. A empresa está investigando possíveis vazamentos de informações. A CISA adicionou a CVE-2026-20262 ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que agências federais dos EUA apliquem correções até 7 de julho de 2026. Organizações que usam Cisco SD-WAN devem priorizar a atualização, pois esta é a oitava falha desse produto em 2026 confirmada sob exploração ativa.
O que fazer agora
Organizações que usam Cisco Catalyst SD-WAN Manager devem atualizar imediatamente para as versões corrigidas. Não há evidências de exploração sem autenticação, mas contas comprometidas podem ser usadas como vetor de ataque. Verifique logs de acesso incomuns e monitore atividades de administradores. Revogue credenciais de usuários com privilégios baixos que não são necessários. Considere ativar autenticação multifator para todas as contas administrativas. Se você usa SD-WAN em produção, priorize a atualização em sistemas críticos de infraestrutura e restrinja acessos administrativos temporários para emergências. Aplique o princípio de menor privilégio em todas as contas de acesso. Implemente monitoramento contínuo de anomalias na rede.