A Cisco alertou sobre a sétima vulnerabilidade zero-day em seu SD-WAN explorada em 2026. Rastreada como CVE-2026-20245, a falha permite execução arbitrária de comandos como root em dispositivos Catalyst SD-WAN Manager e já está sendo ativamente explorada por um threat actor sofisticado identificado como UAT-8616. Não há patch disponível até o momento.
Como o ataque funciona
A vulnerabilidade reside na interface CLI do Cisco Catalyst SD-WAN Manager. Um atacante com privilégios de “netadmin” pode enviar um arquivo especialmente manipulado que, ao ser processado pelo sistema, permite injeção de comandos com privilégios de root. A exploração exige autenticação prévia, mas esses privilégios podem ser obtidos por meio de credenciais comprometidas ou por encadeamento com vulnerabilidades anteriores, como CVE-2026-20182 (bypass de autenticação) e CVE-2026-20127.
A Cisco confirmou casos em que a exploração resultou em alterações de configuração propagadas para dispositivos de borda da rede. A descoberta foi creditada à Mandiant, que notificou a Cisco PSIRT em junho de 2026 com disclosure emergencial.
O sétimo zero-day de 2026
A escala de exploração contra o SD-WAN da Cisco neste ano é sem precedentes. Sete vulnerabilidades distintas já foram identificadas como exploradas na natureza em 2026, formando um ecossistema de ataque encadeável contra a plataforma.
| CVE | Tipo | Status |
|---|---|---|
| CVE-2026-20245 | Escalada de privilégio / command injection | Sem patch |
| CVE-2026-20182 | Bypass de autenticação | Corrigido em maio/2026 |
| CVE-2026-20127 | Acesso não autorizado | Corrigido |
| CVE-2026-20128 | Exploração ativa | Corrigido |
| CVE-2026-20122 | Exploração ativa | Corrigido |
| CVE-2026-20133 | Exploração ativa | Corrigido |
| CVE-2022-20775 | Vulnerabilidade antiga, explorada em 2026 | Corrigido |
Ameaça do grupo UAT-8616
O threat actor UAT-8616, descrito pela Cisco como “altamente sofisticado”, já foi responsável pela exploração de múltiplas falhas do SD-WAN em 2026. O grupo demonstrou capacidade de operar em cadeia: compromete credenciais ou explora bypass de autenticação, obtém acesso netadmin e então escala para root via CVE-2026-20245.
Esse padrão evidencia um risco sistêmico na arquitetura do SD-WAN da Cisco, onde vulnerabilidades individuais se tornam etapas de uma cadeia de comprometimento completo.
O que fazer agora
- Revisar os Indicadores de Comprometimento (IoCs) publicados pela Cisco para CVE-2026-20245
- Auditar todas as credenciais netadmin e implementar autenticação multifator nos acessos ao SD-WAN Manager
- Verificar dispositivos de borda em busca de alterações de configuração não autorizadas
- Monitorar tráfego na porta UDP 12346 (serviço vdaemon sobre DTLS) para atividades anômalas
- Segmentar a rede de gerenciamento do SD-WAN para limitar o raio de comprometimento
- Acompanhar o advisory da Cisco para deploy do patch assim que disponível