As vulnerabilidades CVE-2026-20122 e CVE-2026-20128 afetam o antigo vManage e exigem credenciais válidas, mas já foram observadas em exploração ativa contra ambientes expostos.
| Componente | Cisco Catalyst SD-WAN Manager, anteriormente conhecido como SD-WAN vManage |
| Vetor | CVE-2026-20122 exige credenciais válidas somente leitura com acesso à API; CVE-2026-20128 exige credenciais válidas do vManage e acesso local autenticado |
| Impacto | CVE-2026-20122 permite sobrescrita arbitrária de arquivos locais; CVE-2026-20128 permite obter privilégios do usuário Data Collection Agent em sistema afetado |
| Prioridade | Atualizar para versão corrigida, restringir exposição da interface administrativa e tratar instâncias expostas como prioridade de investigação |
| Artefatos | O alerta também menciona correções para CVE-2026-20126, CVE-2026-20129 e CVE-2026-20133, sem indicar exploração ativa dessas três falhas no material analisado |
| Limite de atribuição | Não há atribuição pública de autoria nem detalhamento de escala para a exploração de CVE-2026-20122 e CVE-2026-20128 |
Duas novas vulnerabilidades no Cisco Catalyst SD-WAN Manager entraram na lista de falhas exploradas ativamente em ambientes reais. As falhas identificadas como CVE-2026-20122 e CVE-2026-20128 afetam o componente de gerenciamento da plataforma SD-WAN, historicamente conhecido como vManage, e devem ser tratadas como risco operacional direto para organizações que mantêm a interface administrativa acessível a redes não confiáveis ou com controles fracos de autenticação, segmentação e monitoramento.
CVE-2026-20122 recebeu pontuação CVSS 7.1 e descreve uma condição de sobrescrita arbitrária de arquivos. A exploração bem-sucedida depende de credenciais válidas com perfil somente leitura e acesso à API no sistema afetado. CVE-2026-20128, com CVSS 5.5, é uma falha de divulgação de informação que pode permitir a um atacante local autenticado obter privilégios do usuário Data Collection Agent, conhecido como DCA, desde que já possua credenciais válidas do vManage. Embora as duas falhas não sejam descritas como acesso remoto não autenticado, a confirmação de exploração ativa muda a prioridade de resposta, especialmente em appliances expostos ou com contas reutilizadas.
As correções foram publicadas junto com atualizações para outras falhas do mesmo ecossistema, incluindo CVE-2026-20126, CVE-2026-20129 e CVE-2026-20133. O material analisado, porém, delimita a exploração ativa a CVE-2026-20122 e CVE-2026-20128. Essa distinção é importante para a triagem: as equipes devem corrigir todo o conjunto de vulnerabilidades aplicável, mas a investigação retrospectiva deve priorizar acessos autenticados anômalos à API, alterações inesperadas no sistema de arquivos e elevação de privilégios relacionada ao usuário DCA.
A primeira falha, CVE-2026-20122, envolve uma condição em que um atacante remoto autenticado pode sobrescrever arquivos arbitrários no sistema de arquivos local. A precondição declarada reduz o escopo em comparação com falhas sem autenticação, mas não elimina o risco: credenciais somente leitura podem existir em contas de integração, automação, inventário, monitoramento ou operadores com permissões aparentemente limitadas. Quando essas contas possuem acesso à API, a fronteira de segurança passa a depender não apenas do papel atribuído ao usuário, mas também da validação interna feita pelo componente vulnerável antes de manipular caminhos e arquivos locais.
A segunda falha, CVE-2026-20128, é classificada como divulgação de informação e pode permitir que um atacante local autenticado obtenha privilégios do usuário DCA em um sistema afetado. O impacto deve ser lido no contexto do appliance: o usuário DCA participa de funções de coleta de dados e telemetria, portanto o abuso desse contexto pode ampliar a visibilidade do atacante sobre configurações, estados operacionais e dados internos do ambiente de gerenciamento. O requisito de credenciais válidas do vManage indica que a ameaça é mais plausível em cenários de conta comprometida, abuso interno, persistência pós-acesso inicial ou movimentação dentro de uma superfície administrativa já alcançada.
A exploração ativa dessas duas falhas ocorre em um período de pressão maior sobre o ecossistema Cisco Catalyst SD-WAN. O contexto também registra que CVE-2026-20127, uma falha crítica com CVSS 10.0 no Catalyst SD-WAN Controller e no Catalyst SD-WAN Manager, foi explorada por um ator rastreado como UAT-8616 para estabelecer presença persistente em organizações de alto valor. A atividade observada por uma plataforma de exposição envolveu tentativas vindas de vários endereços IP e implantação de web shells, mas a correção posterior do relato delimita essa atividade específica à CVE-2026-20127, não às duas falhas principais desta matéria. Para defesa, isso significa que ambientes expostos devem ser analisados como um conjunto de riscos próximos, sem misturar indevidamente os indicadores de cada CVE.
A superfície central é o plano de gerenciamento do Catalyst SD-WAN Manager. Em arquiteturas SD-WAN, esse componente concentra configuração, orquestração, controle administrativo e visibilidade operacional. Qualquer falha explorável nesse plano tem peso maior do que uma vulnerabilidade isolada em estáção de trabalho, porque o appliance pode representar um ponto de decisão para múltiplos ramos, túneis, políticas e integrações. Mesmo quando a exploração exige autenticação, a exposição da interface web administrativa, de APIs e de serviços auxiliares aumenta a chance de abuso por credenciais vazadas, senhas padrão, contas esquecidas ou integrações sem rotação adequada.
A recomendação de restringir acesso a redes não confiáveis indica que instâncias alcançáveis diretamente por segmentos amplos devem ser consideradas de maior risco. A orientação também inclui proteger appliances atrás de firewall, desabilitar HTTP para o portal administrativo da interface web, desligar serviços como HTTP e FTP quando não forem necessários, alterar a senha padrão de administrador e monitorar tráfego inesperado de entrada e saída. Essas medidas apontam para uma falha explorável dentro de uma cadeia em que exposição de serviço, credenciais válidas e baixa observabilidade podem transformar uma vulnerabilidade autenticada em comprometimento persistente.
- Catalyst SD-WAN Manager, incluindo ambientes ainda referenciados como vManage
- Interfaces administrativas web acessíveis por redes inseguras ou segmentos amplos
- APIs com contas somente leitura que possuam acesso válido ao sistema afetado
- Contas vManage válidas que possam ser usadas para abuso local autenticado
- Serviços HTTP ou FTP mantidos ativos sem necessidade operacional
A investigação deve começar pela pergunta operacional mais importante: quais instâncias do Catalyst SD-WAN Manager estavam expostas, em qual janela de tempo e com quais contas autenticadas acessando APIs ou interfaces administrativas. Para CVE-2026-20122, a telemetria relevante inclui operações de API feitas por contas somente leitura, tentativas de gravação incompatíveis com o perfil esperado, alterações em arquivos locais e divergências de integridade em caminhos críticos do appliance. A presença de credenciais válidas como precondição torna logs de autenticação, trilhas de auditoria e revisão de privilégios mais úteis do que uma busca ampla por tráfego anônimo.
Para CVE-2026-20128, a defesa deve procurar sinais de acesso local autenticado seguido por mudança de contexto, leitura incomum de dados de coleta, comportamento atípico do usuário DCA e consultas ou operações que não se alinham ao fluxo normal de monitoramento. Como não há indicadores específicos publicados no material analisado para essas duas CVEs, a abordagem correta é comportamental: comparar atividade por conta, origem, horário, volume de requisições e tipo de operação antes e depois da janela de divulgação e correção.
O contexto sobre CVE-2026-20127 adiciona uma camada de cautela para ambientes que também possam estar vulneráveis à falha crítica. A observação de web shells e ataques distribuídos por diversos IPs foi associada a essa CVE específica, portanto não deve ser usada como prova automática de exploração de CVE-2026-20122 ou CVE-2026-20128. Ainda assim, a presença de arquivos web inesperados, processos persistentes, conexões de saída incomuns e tráfego administrativo fora do padrão justifica resposta a incidente em qualquer appliance exposto durante o período de exploração.
- Autenticações bem-sucedidas por contas somente leitura seguidas de chamadas incomuns à API
- Eventos de gravação, substituição ou alteração de arquivos locais incompatíveis com operação normal
- Uso anômalo de contas vManage válidas em horários, origens ou padrões de requisição fora do histórico
- Atividade relacionada ao usuário DCA que indique elevação ou acesso a dados de coleta além do esperado
- Tráfego inesperado de entrada ou saída a partir do appliance de gerenciamento SD-WAN
A medida principal é atualizar o Catalyst SD-WAN Manager para uma versão corrigida aplicável ao ambiente. Como as correções foram distribuídas em conjunto com outras falhas do mesmo ciclo, a validação deve confirmar não apenas a ausência de CVE-2026-20122 e CVE-2026-20128, mas também a cobertura das demais vulnerabilidades listadas para o produto. Em ambientes com exposição externa ou acesso amplo à interface administrativa, a atualização deve ser acompanhada de investigação, porque a instalação do patch não responde se houve abuso anterior de credenciais válidas ou alteração de arquivos locais.
A redução de superfície deve ser executada em paralelo. O acesso ao portal administrativo deve ser limitado a redes de gerenciamento confiáveis, preferencialmente por controles de firewall e segmentação. HTTP deve ser desativado para a interface administrativa quando HTTPS estiver disponível e os serviços HTTP e FTP sem necessidade operacional devem ser desligados. Senhas padrão de administrador precisam ser substituídas e contas de API devem ser revisadas com foco em privilégio mínimo, rotação de credenciais e remoção de integrações obsoletas.
A resposta defensiva deve tratar appliances expostos como ativos que exigem verificação de integridade, não apenas atualização. A equipe deve revisar logs de autenticação, auditoria de API, alterações de configuração, eventos do sistema de arquivos e tráfego de rede. Quando houver indício de acesso não autorizado, a contenção deve incluir isolamento administrativo do appliance, rotação de credenciais associadas, revisão de contas locais e validação da configuração SD-WAN antes de recolocar o sistema em operação normal. Para ambientes com risco associado a CVE-2026-20127, a busca por persistência e artefatos compatíveis com web shells deve ser conduzida separadamente, respeitando a atribuição técnica correta de cada vulnerabilidade.
- Aplicar a versão corrigida do Catalyst SD-WAN Manager correspondente ao ramo em uso
- Restringir a interface administrativa e a API a redes de gerenciamento confiáveis
- Desabilitar HTTP no portal administrativo e desligar HTTP ou FTP quando não forem necessários
- Alterar senhas padrão e revisar contas vManage, contas somente leitura e credenciais de integração
- Monitorar tráfego inesperado, mudanças no sistema de arquivos e uso anômalo do usuário DCA
0 Comentários