A Cisco alertou nesta quinta-feira (5) sobre uma vulnerabilidade zero-day de alta gravidade no Catalyst SD-WAN Manager, rastreada como CVE-2026-20245 (CVSS 7.8). A falha permite que atacantes autenticados executem comandos arbitrários com privilégios de root por meio do upload de arquivos maliciosos. Não existe patch ou workaround disponível. A descoberta é do Mandiant, subsidiária de segurança do Google Cloud.
Sétima falha explorada em 2026
A vulnerabilidade CVE-2026-20245 afeta todas as modalidades de implantação do Catalyst SD-WAN Manager: on-premises, Cloud-Pro, Cloud (Cisco Managed) e a versão FedRAMP para ambientes governamentais. O problema reside na validação insuficiente de entradas fornecidas pelo usuário na interface de linha de comando (CLI) da plataforma, antes conhecida como SD-WAN vManage, conforme o advisory publicado pela Cisco.
Para explorar a falha, o atacante precisa de privilégios de netadmin no sistema. Essas credenciais podem ser obtidas por roubo ou por meio da exploração de duas vulnerabilidades anteriores já identificadas: CVE-2026-20182 (CVSS 10.0), uma bypass de autenticação de gravidade máxima divulgada em maio pelo Rapid7, e CVE-2026-20127, outro caso de bypass de autenticação no mesmo componente. Ambas foram exploradas como zero-day na natureza, com o cluster de ameaças UAT-8616 ligado ao abuso de CVE-2026-20127 desde pelo menos 2023, segundo reportagem do Security Affairs.
CVE-2026-20245 é a sétima falha no SD-WAN Manager sinalizada como explorada ativamente só em 2026. As outras seis são CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 e CVE-2022-20775. A lista coloca o Catalyst SD-WAN como um dos produtos mais visados por atacantes este ano, com 90 vulnerabilidades da Cisco marcadas como abusadas na natureza pela CISA ao longo dos últimos anos — quatro delas no SD-WAN Manager.
Como funciona o ataque
O vetor de ataque segue um encadeamento explícito. Primeiro, o atacante obtém acesso ao SD-WAN Manager — seja por credenciais comprometidas, seja explorando CVE-2026-20182 ou CVE-2026-20127. Com privilégios de netadmin, ele faz o upload de um arquivo CSV especialmente elaborado para o sistema. Devido à validação deficiente de entrada na CLI, esse arquivo permite a injeção de comandos que são executados com privilégios de root no servidor vManage.
A Cisco observou casos limitados em que a exploração resultou em alterações de configuração empurradas para dispositivos de borda (edge devices) conectados ao gerenciador. Isso amplia significativamente o raio de impacto de um único servidor comprometido, já que a plataforma permite a administração centralizada de até 6 mil dispositivos Catalyst SD-WAN a partir de um único painel de controle.
Detecção e indicadores
O Mandiant identificou indicadores de comprometimento (IOC) específicos que aparecem no arquivo de log /var/log/scripts.log do servidor vManage. As entradas suspeitas incluem chamadas ao script vconfd_script_upload_tenant_list.sh com caminhos de arquivo que não correspondem a operações legítimas. O BleepingComputer publicou exemplos concretos encontrados pela equipe de resposta da Cisco:
Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
Jun 5 13:06:39 Manager vScript: vSmart upload serial numbers: /usr/bin/vconfd_script_upload_vsmart_serial_numbers.sh -cli path /home/admin/vsmart_serial_numbers_safe.csv
Jun 5 13:08:47 Validator vScript: ZTP upload chassis numbers: /usr/bin/vconfd_script_upload_chassis_number_file.sh -cli path /home/admin/chassis_numbers_safe.csvA Cisco alertou que esses comandos também são executados em operações legítimas, o que exige que os administradores comparem as entradas contra uma linha de base conhecida para distinguir atividade normal de exploração maliciosa.
Cronologia dos ataques ao SD-WAN
| Data | Evento |
|---|---|
| Desde 2023 | Cluster UAT-8616 explora CVE-2026-20127 (bypass de autenticação) como zero-day |
| Fev/2026 | Cisco corrige CVE-2026-20133 (vazamento de informações no SD-WAN Manager) |
| Mar/2026 | Cisco corrige CVE-2026-20127 (bypass de autenticação crítica, explorada desde 2023) |
| Abr/2026 | CISA sinaliza CVE-2026-20133 como explorada; alerta sobre CVE-2026-20128 e CVE-2026-20122 |
| Mai/2026 | Rapid7 divulga CVE-2026-20182 (CVSS 10.0, bypass de autenticação máxima); Cisco lança patch em 14/mai |
| 05/Jun/2026 | Mandiant reporta CVE-2026-20245 (CVSS 7.8); Cisco emite advisory sem patch disponível |
O que fazer agora
A ausência de patch transforma a situação em emergência operacional para qualquer organização que utilize o Catalyst SD-WAN Manager. O conselho da Cisco é direto: antes de qualquer atualização, execute request admin-tech em cada componente de controle do SD-WAN para verificar se o sistema já foi comprometido.
Se os logs indicarem comprometimento, a aplicação do patch futuro não resolverá o problema. “Corrigir sobre um sistema comprometido resulta em um sistema corrigido ainda comprometido”, alertou o advisory da Cisco. Nesses casos, é necessário abrir um chamado junto ao Cisco Technical Assistance Center (TAC) para obter as etapas de remediação específicas.
Como medida imediata, as organizações devem garantir que o patch para CVE-2026-20182 (lançado em 14 de maio) já esteja aplicado em todos os componentes SD-WAN. Esse update bloqueia a principal via de obtenção dos privilégios de netadmin necessários para explorar CVE-2026-20245. Sistemas expostos à internet enfrentam risco elevado, segundo a própria Cisco.
A descoberta é creditada aos pesquisadores Chester Sng, Pete Boonyakarn e Logeswaran Nadarajan do Mandiant. A identidade dos atacantes que exploraram a falha na natureza permanece desconhecida até o momento. A CISA ainda não adicionou CVE-2026-20245 ao seu catálogo de vulnerabilidades conhecidas como exploradas (KEV).
Fontes
- The Hacker News — Cisco Catalyst SD-WAN Manager CVE-2026-20245 Flaw Actively Exploited (06/06/2026)
- BleepingComputer — Cisco warns of unpatched SD-WAN zero-day exploited in attacks (05/06/2026)
- Security Affairs — Cisco SD-WAN Has a New Root-Level Problem, and There’s No Fix Yet (05/06/2026)