A Cisco divulgou na quinta-feira (5) uma vulnerabilidade zero-day ativamente explorada no Catalyst SD-WAN Manager, rastreada como CVE-2026-20245. Trata-se do sétimo zero-day em produtos SD-WAN da empresa explorado em 2026. A falha permite execução arbitrária de comandos com privilégios de root, e não há patch ou workaround disponível.
Sétimo zero-day da Cisco em 2026
A vulnerabilidade CVE-2026-20245 afeta a interface de linha de comando (CLI) do Cisco Catalyst SD-WAN Manager. Segundo o advisory oficial da Cisco, a falha decorre de “validação insuficiente de entrada fornecida pelo usuário” (insufficient validation of user-supplied input). Um atacante local autenticado pode explorá-la enviando um arquivo especialmente criado para executar comandos arbitrários como root no sistema afetado.
A exploração requer privilégios de “netadmin” no sistema-alvo. A Cisco alerta que essas credenciais podem ser obtidas por meio da exploração combinada de outras vulnerabilidades já identificadas, como a CVE-2026-20182 (bypass de autenticação corrigida em meados de maio) e a CVE-2026-20127. Ambas foram exploradas como zero-day pelo grupo de ameaças rastreado como UAT-8616.
A vulnerabilidade foi reportada à Cisco pela equipe de resposta a incidentes da Mandiant. A Cisco afirmou que seu PSIRT (Product Security Incident Response Team) tomou conhecimento da exploração em junho de 2026, o que indica uma divulgação urgente — antes mesmo da disponibilização de uma correção definitiva.
Como funciona o ataque
O vetor de ataque envolve injeção de comandos via upload de arquivo. O atacante, já com acesso autenticado ao SD-WAN Manager, faz upload de um arquivo malicioso que aproveita a falta de validação de entrada na CLI. O resultado é elevação de privilégio para root — o nível mais alto de acesso no sistema.
Em casos observados pela Cisco, a exploração resultou em “mudanças de configuração enviadas a dispositivos de borda” (edge devices). Isso significa que o atacante pode não apenas comprometer o gerenciador central, mas propagar alterações maliciosas para toda a rede SD-WAN sob seu controle.
A cadeia de ataque identificada segue um padrão claro: o grupo UAT-8616 primeiro explota falhas de autenticação (CVE-2026-20127, depois CVE-2026-20182) para obter credenciais de netadmin. Com esse acesso, a CVE-2026-20245 é usada para escalar para root e tomar controle total do gerenciador SD-WAN e, consequentemente, dos dispositivos gerenciados por ele.
Cronologia dos ataques SD-WAN
| Data | Evento |
|---|---|
| Início de 2026 | CVE-2026-20127 explorada como zero-day pelo grupo UAT-8616 |
| Fev-Abr de 2026 | CVE-2026-20128 e CVE-2026-20122 identificadas como exploradas na natureza |
| Meados de maio | CVE-2026-20182 (bypass de autenticação) corrigida após exploração constatada |
| Maio de 2026 | CVE-2022-20775, vulnerabilidade antiga, sinalizada como explorada |
| 5 de junho de 2026 | CVE-2026-20245 divulgada — 7º zero-day SD-WAN, sem correção disponível |
Escalada sustentada contra Cisco
O volume de zero-days em um único produto ao longo de seis meses é incomum na indústria de segurança. Sete vulnerabilidades exploradas ativamente no Cisco Catalyst SD-WAN em 2026 revelam uma campanha sustentada e direcionada contra a infraestrutura de rede corporativa da fabricante.
O Catalyst SD-WAN Manager é a plataforma central de gerenciamento de redes definidas por software da Cisco, amplamente utilizada em redes corporativas de grande porte. Um comprometimento bem-sucedido dessa plataforma pode afetar toda a topologia de rede gerenciada, incluindo roteadores, firewalls e dispositivos de borda distribuídos.
A Cisco ainda não divulgou quais versões específicas do produto são afetadas pela CVE-2026-20245, mas indicou que o patch será incluído em uma futura release do Catalyst SD-WAN Manager. Nenhum workaround está disponível até o momento. A empresa disponibilizou indicadores de comprometimento (IoCs) para que equipes de segurança possam detectar possíveis explorações em seus ambientes.
O envolvimento da Mandiant na descoberta e a identificação consistente do grupo UAT-8616 reforçam a tese de um atacante sofisticado, com recursos significativos e conhecimento profundo da arquitetura SD-WAN da Cisco. O padrão de encadeamento de vulnerabilidades — onde uma falha fornece acesso para explorar a próxima — evidencia um nível de planejamento que transcende ataques oportunistas.
O que fazer agora
Equipes de segurança que operam o Cisco Catalyst SD-WAN Manager devem adotar medidas imediatas enquanto a correção não é disponibilizada:
1. Verificar os IoCs publicados pela Cisco nos logs de acesso e atividade do SD-WAN Manager. A presença de uploads de arquivos incomuns ou mudanças de configuração não autorizadas em edge devices são sinais críticos de comprometimento.
2. Restringir o acesso ao CLI do SD-WAN Manager exclusivamente a administradores confiáveis. Contas com privilégios de netadmin devem usar autenticação multifator e ter senhas rotacionadas imediatamente.
3. Monitorar ativamente mudanças de configuração propagadas aos dispositivos de borda. Qualquer alteração não documentada deve ser investigada como possível indicador de comprometimento ativo.
4. Aplicar os patches das vulnerabilidades anteriores (CVE-2026-20182 e CVE-2026-20127) que podem ser usadas como etapa inicial da cadeia de ataque. Reduzir as superfícies de entrada limita o alcance do atacante.
5. Acompanhar o advisory oficial da Cisco para aplicar a correção assim que for disponibilizada.