A falha CVE-2026-20127 afeta controladores e gerenciadores Cisco Catalyst SD-WAN, foi explorada desde 2023 e permite criar um par não autorizado no plano de gerenciamento e controle da malha SD-WAN.
| Componente | Cisco Catalyst SD-WAN Controller, anteriormente vSmart, e Cisco Catalyst SD-WAN Manager, anteriormente vManage. |
| Vetor | Requisição especialmente construída enviada remotamente a sistemas afetados, explorando falha no mecanismo de autenticação de pareamento. |
| Impacto | Bypass de autenticação, obtenção de privilégios administrativos como conta interna não root de alto privilégio e possibilidade de manipular a configuração da malha SD-WAN via NETCONF. |
| Prioridade | Inventariar controladores expostos, aplicar versões corrigidas, revisar sinais de comprometimento em logs de autenticação e investigar downgrades de software ou reinicializações inesperadas. |
| Artefatos | Entradas em /var/log/auth.log com Accepted publickey for vmanage-admin vindas de endereços IP desconhecidos ou não autorizados. |
| Ator | A exploração e a atividade pós-comprometimento são acompanhadas como UAT-8616, descrito como um cluster sofisticado. |
| IoCs | Uso de SSH, NETCONF na porta 830, chaves autorizadas para acesso root e limpeza de logs sob /var/log, histórico de comandos e histórico de conexões de rede. |
A vulnerabilidade CVE-2026-20127, com pontuação CVSS 10.0, atinge componentes centrais do Cisco Catalyst SD-WAN usados para administrar e controlar a malha de rede definida por software. O problema permite que um atacante remoto não autenticado contorne a autenticação e obtenha privilégios administrativos em sistemas afetados por meio de uma requisição especialmente construída. O impacto documentado não se limita a uma falha de login: após a exploração, o operador pode acessar o ambiente como uma conta interna, de alto privilégio, embora não root, com capacidade de interagir com funções sensíveis do plano de gerenciamento.
A causa indicada para a falha está no mecanismo de autenticação de pareamento do sistema afetado. Em uma implantação SD-WAN, o pareamento define confiança entre componentes que participam do plano de gerenciamento e controle. Quando esse controle falha, o operador consegue introduzir um par não autorizado na malha. Esse componente temporário, controlado pelo atacante, passa a aparecer como um elemento SD-WAN novo dentro do ambiente e pode executar ações confiáveis dentro do escopo de gerenciamento e controle. A exploração é tratada como atividade real desde 2023 e foi associada ao cluster UAT-8616.
A gravidade aumenta porque o caminho pós-comprometimento combina acesso inicial privilegiado com manipulação de versão de software. Depois de comprometer uma aplicação exposta publicamente, os operadores foram observados usando o mecanismo interno de atualização para fazer downgrade de versão, escalar privilégios por meio da vulnerabilidade CVE-2022-20775 na CLI do Cisco SD-WAN Software e restaurar o software à versão original. Essa sequência reduz a visibilidade operacional, pois a versão aparente pode voltar ao estado esperado depois da etapa de escalonamento.
O fluxo começa em sistemas Cisco Catalyst SD-WAN Controller ou Manager acessíveis remotamente, especialmente quando interfaces ou portas relevantes estão expostas à internet. A requisição malformada aciona a falha de autenticação de pareamento e permite que o invasor obtenha acesso elevado sem credenciais válidas. O resultado direto é a capacidade de login como uma conta interna de alto privilégio, o que fornece uma posição inicial dentro do plano de gerenciamento sem exigir comprometimento prévio de uma conta administrativa legítima.
Com esse acesso, o operador pode usar NETCONF para interagir com a configuração da malha SD-WAN. O protocolo aparece como elemento relevante porque a atividade observada incluiu conexões NETCONF na porta 830 e SSH entre dispositivos Cisco SD-WAN dentro do plano de gerenciamento. Em termos defensivos, isso significa que a análise não deve olhar apenas para autenticação web ou tentativas de login convencionais. A investigação precisa correlacionar eventos de pareamento, sessões de gerenciamento, comunicação entre appliances e alterações de configuração feitas por identidades internas ou componentes recém-aparecidos.
A cadeia pós-comprometimento incluiu uso do mecanismo de atualização embutido para reduzir temporariamente a versão do software. Essa etapa foi usada para explorar CVE-2022-20775, uma falha de escalonamento local de privilégios na CLI do Cisco SD-WAN Software com pontuação CVSS 7.8. Após a elevação para root, os operadores restauraram a versão original em execução. Também foram observadas ações de persistência e preparação do ambiente, como adição de uma chave SSH autorizada para acesso root e modificação de scripts de inicialização relacionados ao SD-WAN. A atividade ainda incluiu tentativa de apagar evidências por limpeza de logs em /var/log, histórico de comandos e histórico de conexões de rede.
A superfície mais exposta envolve sistemas Cisco Catalyst SD-WAN Controller e Cisco Catalyst SD-WAN Manager com portas acessíveis pela internet. O risco independe da configuração específica do dispositivo, conforme descrito no contexto da falha, porque o problema está no mecanismo de autenticação de pareamento e não em uma opção isolada ativada por administradores. Ambientes nos quais o plano de gerenciamento aceita comunicação de origens amplas ou possui appliances diretamente expostos têm maior urgência de validação.
A exploração cria um risco direto para a integridade da malha SD-WAN. O operador não precisa começar pela tomada de uma estáção de trabalho interna ou por credenciais de usuário final; ele mira o elemento que coordena políticas, pareamento e configuração. Uma vez dentro desse plano, a atividade pode afetar como dispositivos se reconhecem, como se comunicam e quais alterações são aplicadas. O material analisado não sustenta afirmar vazamento de dados ou movimentação lateral ampla como consequência confirmada, mas sustenta risco operacional alto sobre configuração, controle e persistência em componentes de borda de rede.
- Controladores Cisco Catalyst SD-WAN expostos à internet com portas acessíveis externamente.
- Gerenciadores Cisco Catalyst SD-WAN que registram autenticação
vmanage-admina partir de endereços IP desconhecidos. - Ambientes em que NETCONF na porta 830 e SSH são usados no plano de gerenciamento entre appliances SD-WAN.
- Sistemas com indícios de downgrade de software, reinicialização inesperada ou restauração de versão após atividade administrativa incomum.
A investigação deve começar por autenticação e pareamento. O arquivo /var/log/auth.log é um ponto de validação importante para localizar entradas com Accepted publickey for vmanage-admin originadas de endereços IP desconhecidos ou não autorizados. Esses endereços devem ser comparados aos System IPs configurados na interface web do Cisco Catalyst SD-WAN Manager. Divergências entre IPs esperados e origens que aparecem em autenticação administrativa indicam necessidade de análise aprofundada, principalmente se houver proximidade temporal com eventos de pareamento ou alterações de configuração.
A segunda linha de análise envolve sinais de manipulação de versão e reinicialização. Como a cadeia observada usou downgrade temporário para acionar uma falha de escalonamento e depois restaurou a versão, inventários pontuais podem não mostrar o estado intermediário. Logs de atualização, eventos de reboot, registros de manutenção e trilhas de alteração devem ser revisados em sequência temporal. A presença de reinicialização inesperada perto de operações de atualização, seguida por conexões SSH ou NETCONF incomuns, é um sinal de maior prioridade.
A terceira frente é persistência e limpeza de evidências. A adição de chave autorizada para root, alterações em scripts de inicialização do SD-WAN e remoção de artefatos em /var/log são comportamentos que não fazem parte de administração rotineira sem mudança planejada e documentada. Defensores devem correlacionar esses sinais com janelas de manutenção aprovadas, contas que executaram mudanças e origens de rede. Quando a cadeia tenta apagar histórico de comandos e conexões, a ausência anômala de dados pode ser tão relevante quanto um evento explícito.
- Entradas
Accepted publickey for vmanage-adminem/var/log/auth.logcom origem fora dos System IPs esperados. - Sessões SSH ou NETCONF na porta 830 entre appliances SD-WAN em horários ou origens não compatíveis com operação normal.
- Eventos de downgrade de software, atualização reversa ou restauração de versão sem mudança aprovada.
- Reinicializações inesperadas próximas a eventos administrativos, autenticação por chave pública ou alterações de configuração.
- Chaves SSH autorizadas para root adicionadas sem controle de mudança e modificações em scripts de inicialização relacionados ao SD-WAN.
- Lacunas, truncamentos ou purgas em
/var/log, histórico de comandos e histórico de conexões de rede.
A resposta deve priorizar exposição, correção e validação de comprometimento. O primeiro passo defensivo é inventariar todos os sistemas Cisco Catalyst SD-WAN Controller e Manager no escopo, identificar quais estão acessíveis pela internet e mapear portas expostas. Em seguida, as versões corrigidas do Cisco Catalyst SD-WAN devem ser aplicadas conforme a orientação de atualização disponível para o produto. Como a exploração foi observada em atividade real desde 2023, atualizar sem investigar sinais históricos deixa risco residual de persistência já instalada.
Após a atualização, a equipe deve conduzir revisão de logs e configuração. A busca por autenticação vmanage-admin, pareamentos temporários ou desconhecidos, eventos NETCONF, conexões SSH entre appliances e alterações em scripts de inicialização ajuda a separar uma correção preventiva de uma resposta a incidente. Nos casos em que houver indício de chave root não autorizada, downgrade de versão ou limpeza de logs, o ambiente deve ser tratado como potencialmente comprometido, com preservação de evidências ainda disponíveis e revisão da integridade dos dispositivos afetados.
A inclusão de CVE-2026-20127 e CVE-2022-20775 no catálogo de vulnerabilidades exploradas conhecidas eleva a urgência para organizações que seguem esse tipo de priorização. Agências federais civis dos Estados Unidos receberam exigência de aplicar correções em até 24 horas e cumprir a diretiva emergencial 26-03, que exige inventário de dispositivos SD-WAN, aplicação de atualizações e avaliação de possível comprometimento. Mesmo fora desse escopo regulatório, a combinação de exploração ativa, exposição de borda e capacidade de manipular o plano de gerenciamento justifica tratamento como vulnerabilidade crítica.
- Aplicar as versões corrigidas do Cisco Catalyst SD-WAN nos controladores e gerenciadores afetados.
- Remover exposição desnecessária à internet e restringir acesso administrativo a origens autorizadas.
- Comparar IPs em logs de autenticação com os System IPs configurados no Cisco Catalyst SD-WAN Manager.
- Investigar downgrades de software, reinicializações inesperadas e restaurações de versão antes de encerrar o caso como apenas corrigido.
- Revisar chaves SSH autorizadas para root e alterações em scripts de inicialização relacionados ao SD-WAN.
- Tratar limpeza de logs, histórico de comandos ou histórico de conexões como possível sinal de ação pós-comprometimento.
0 Comentários