A Cisco confirmou que uma vulnerabilidade zero-day no Catalyst SD-WAN Manager, rastreada como CVE-2026-20245, está sendo explorada ativamente por atacantes. A falha permite escalada de privilégios para root e não possui correção disponível, afetando todas as formas de implantação do produto, segundo advisory publicado em 5 de junho de 2026.
Vulnerabilidade afeta todos os ambientes
A falha CVE-2026-20245 recebeu pontuação CVSS 7.8 de 10.0 e reside na interface CLI do Cisco Catalyst SD-WAN Manager — anteriormente conhecido como SD-WAN vManage. O problema decorre de validação insuficiente de dados fornecidos pelo usuário, permitindo que atacantes autenticados com privilégios de rede executem comandos arbitrários como root por meio do upload de um arquivo manipulado, conforme o advisório oficial da Cisco.
Todos os modelos de implantação estão vulneráveis: On-Prem, SD-WAN Cloud-Pro, SD-WAN Cloud (gerenciado pela Cisco) e SD-WAN for Government (FedRAMP). O software gerencia até 6.000 dispositivos SD-WAN Catalyst a partir de um único painel, o que amplia o raio de impacto de um eventual comprometimento.
A exploração exige que o atacante possua privilégios de netadmin no sistema afetado. Isso pode ser obtido com credenciais válidas ou pelo encadeamento com outras vulnerabilidades já exploradas no mesmo componente — CVE-2026-20182 (CVSS 10.0) e CVE-2026-20127, ambas de bypass de autenticação, segundo reportagem do The Hacker News.
Grupo UAT-8616 ligado a ataques
A exploração da CVE-2026-20127, que serve como vetor de acesso para a nova falha, foi atribuída ao grupo de ameaças rastreado como UAT-8616. Esse cluster opera desde pelo menos 2023, explorando zero-days em dispositivos de perimeter. A Cisco informou que observou “casos limitados” em que a exploração da CVE-2026-20245 resultou em alterações de configuração enviadas a dispositivos de borda da rede, o que indica que os atacantes vão além do acesso inicial e tentam consolidar controle sobre a infraestrutura.
A descoberta da nova vulnerabilidade foi creditada a pesquisadores do Mandiant — subsidiária de segurança do Google Cloud — Chester Sng, Pete Boonyakarn e Logeswaran Nadarajan. O Cisco PSIRT tomou conhecimento da exploração em junho de 2026, após o relatório da equipe da Mandiant, conforme o BleepingComputer.
Cronologia de falhas em 2026
A CVE-2026-20245 é a sétima vulnerabilidade no Cisco SD-WAN marcada como explorada ativamente só em 2026. A tabela abaixo resume o histórico recente:
| CVE | CVSS | Tipo | Status |
|---|---|---|---|
| CVE-2026-20245 | 7.8 | Escalada de privilégios (root) | Sem patch |
| CVE-2026-20182 | 10.0 | Bypass de autenticação | Corrigido em 14/05/2026 |
| CVE-2026-20127 | Crítico | Bypass de autenticação | Explorado desde 2023 |
| CVE-2026-20133 | — | Vazamento de informações | Corrigido em fev/2026 |
| CVE-2026-20128 | — | Exploração ativa | Corrigido |
| CVE-2026-20122 | — | Exploração ativa | Corrigido |
| CVE-2022-20775 | — | Exploração ativa | Corrigido |
A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) já catalogou 90 vulnerabilidades da Cisco como exploradas em ataques reais nos últimos anos, sendo quatro delas no Catalyst SD-WAN Manager e seis outras associadas a operações de ransomware. O padrão de exploração recorrente no mesmo produto levanta questionamentos sobre a maturidade do código da plataforma de gestão SD-WAN da Cisco e a eficácia dos processos internos de revisão de segurança.
IOC e monitoramento de logs
Como não há patch nem workaround, a Cisco orienta administradores a coletar imediatamente os arquivos admin-tech de cada componente de controle do SD-WAN antes de qualquer atualização. Em seguida, devem auditar o arquivo /var/log/scripts.log em busca de entradas suspeitas como:
Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
Entradas adicionais a monitorar incluem chamadas a vconfd_script_upload_vsmart_serial_numbers.sh e vconfd_script_upload_chassis_number_file.sh com caminhos de arquivo inesperados. A análise deve cobrir todo o período desde abril de 2026, considerando a janela de exploração conhecida.
A Cisco ressalta que esses comandos também ocorrem em operações legítimas e que a análise deve considerar o contexto normal da rede para evitar falsos positivos. Caso haja indicação de comprometimento, aplicar a atualização de software por si só não resolve o problema — é necessário seguir os procedimentos de remediação fornecidos pelo Cisco TAC.
O que fazer agora
Administradores de redes com Cisco Catalyst SD-WAN Manager devem tomar ações imediatas enquanto a correção não é lançada:
- Aplicar o patch da CVE-2026-20182 (lançado em 14 de maio de 2026) para bloquear o vetor de acesso principal dos atacantes.
- Coletar admin-tech files de todos os componentes de controle antes de qualquer mudança, preservando possíveis evidências de comprometimento.
- Auditar
/var/log/scripts.logem busca dos indicadores de comprometimento documentados no advisory da Cisco. - Restringir acesso à internet de sistemas SD-WAN Manager expostos, pois a Cisco alerta que instalações com portas abertas à internet correm risco elevado.
- Verificar configurações de edge devices em busca de alterações não autorizadas, especialmente após a janela de exploração conhecida.
- Contatar o Cisco TAC caso haja dúvidas sobre a integridade do sistema, fornecendo os admin-tech files coletados.
A Cisco afirmou que planeja corrigir a vulnerabilidade em uma versão futura do Catalyst SD-WAN Manager, mas não forneceu cronograma.