Cisco revelou na última quinta-feira um sétimo zero-day em seus produtos SD-WAN explorado em 2026. A falha, registrada como CVE-2026-20245, permite execução arbitrária de comandos como root no SD-WAN Manager e não possui correção disponível. O anúncio ocorre três semanas depois que a empresa corrigiu o sexto zero-day (CVE-2026-20182), também explorado pelo grupo UAT-8616, que desde março compromete redes corporativas por meio de exploração encadeada de vulnerabilidades SD-WAN da Cisco.
Sete zero-days em seis meses
A série de explorações contra a infraestrutura SD-WAN da Cisco em 2026 não tem precedente recente na indústria de rede. O primeiro zero-day da sequência, CVE-2026-20127, foi explorado no início do ano pelo grupo que o Cisco Talos identifica como UAT-8616 — um ator de ameaça altamente sofisticado, cuja motivação e conexões com nações ou grupos conhecidos ainda não foram reveladas publicamente. Apenas a exploração inicial já permitiu acesso não autorizado a sistemas SD-WAN em múltiplas organizações.
Em março, a Rapid7 descobriu CVE-2026-20182 durante análise daquele primeiro flaw, reportando-o à Cisco no dia 9 de março. A Cisco liberou o patch em meados de maio — mas os ataques continuaram sem interrupção. O Talos documentou 10 clusters de atividade distintos explorando vulnerabilidades SD-WAN para instalar miners de criptomoeda, stealers de credenciais, backdoors, webshells e ferramentas de hacking. O catálogo KEV da CISA agora lista 15 vulnerabilidades Cisco SD-WAN, cinco das quais descobertas apenas em 2026.
Como funciona a vulnerabilidade
O CVE-2026-20245 afeta a interface de linha de comando (CLI) do Cisco Catalyst SD-WAN Manager. Trata-se de uma falha de validação de entrada insuficiente que permite injeção de comandos por meio de arquivos especialmente elaborados carregados no sistema afetado. A Cisco explicou em seu advisory que um atacante pode explorar a vulnerabilidade fazendo upload de um arquivo craftado, o que permite executar comandos como root no host.
Para explorar essa falha, o atacante precisa de privilégios “netadmin” na plataforma SD-WAN. Esses privilégios podem ser obtidos por credenciais comprometidas ou, de forma mais preocupante, por meio da exploração encadeada de outras vulnerabilidades SD-WAN já documentadas — como o próprio CVE-2026-20182 ou CVE-2026-20127. A Cisco afirmou que observou casos limitados onde a exploração resultou em alterações de configuração enviadas para dispositivos de borda, indicando que o atacante não apenas executou comandos, mas modificou a topologia de rede das organizações comprometidas.
A Mandiant, que reportou a vulnerabilidade à Cisco, não divulgou detalhes sobre os ataques específicos que detectou. Não existem workarounds disponíveis e a correção será incluída em um release futuro do Catalyst SD-WAN Manager, segundo o advisory da Cisco. A ausência de mitigação intermediária aumenta significativamente o risco para organizações que ainda não aplicaram patches anteriores, pois abre espaço para que UAT-8616 ou outros atores explorem a cadeia completa de vulnerabilidades.
Vulnerabilidades SD-WAN em 2026
| CVE | Tipo | CVSS | Patch | Reportado por |
|---|---|---|---|---|
| CVE-2026-20127 | Acesso não autorizado | — | Corrigido | Cisco Talos |
| CVE-2026-20122 | Exploração ativa | — | Corrigido | — |
| CVE-2026-20128 | Exploração ativa | — | Corrigido | — |
| CVE-2026-20133 | Exploração ativa | — | Corrigido | — |
| CVE-2026-20182 | Bypass de autenticação | — | Corrigido (maio) | Rapid7 |
| CVE-2022-20775 | Reclassificado como explorado | — | Corrigido | — |
| CVE-2026-20245 | Injeção de comando (root) | — | Sem patch | Mandiant |
Cronologia dos ataques
- Início de 2026 — CVE-2026-20127 é explorado por UAT-8616 para acessar sistemas SD-WAN sem autorização. O grupo adiciona chaves SSH e modifica configurações NETCONF.
- 9 de março — Rapid7 descobre CVE-2026-20182, um bypass de autenticação por pacotes craftados que permite ao atacante obter privilégios de administrador remotamente.
- Maio — Cisco corrige CVE-2026-20182. CISA adiciona a falha ao catálogo KEV, exigindo correção em três dias para agências federais. CVE-2026-20128, CVE-2026-20122 e CVE-2026-20133 também marcados como explorados.
- 5 de junho — Cisco divulga CVE-2026-20245 (sétimo zero-day em 2026), reportado pela Mandiant. Sem patch disponível. Privilégios “netadmin” necessários para exploração.
O que fazer agora
Organizações que utilizam Cisco Catalyst SD-WAN Manager devem aplicar imediatamente todos os patches disponíveis, especialmente para CVE-2026-20182. Enquanto não há correção para CVE-2026-20245, a Cisco publicou indicadores de comprometimento (IoCs) em seu advisory oficial que devem ser integrados aos sistemas de detecção de rede, como SIEM e ferramentas de monitoramento de tráfego.
Administradores devem auditar todas as contas com privilégio “netadmin” nos controladores SD-WAN, revisar logs de alteração de configuração nos dispositivos de borda e inspecionar chaves SSH configuradas recentemente. A exploração encadeada — onde um zero-day abre caminho para o próximo — indica que o grupo UAT-8616 mantém acesso persistente nas redes comprometidas. Análises de forense de rede, revisão de chaves SSH não autorizadas e monitoramento da infraestrutura ORB (Operational Relay Box) documentada pelo Talos são medidas adicionais recomendadas para identificar e conter a atividade do grupo.