Cisco descobre duas novas vulnerabilidades SD-WAN em exploração ativa
Aprofundamento CEVIU
Aprofundamento
A Cisco enfrenta uma crise de segurança recorrente em sua plataforma SD-WAN: desde fevereiro de 2026, pelo menos sete vulnerabilidades críticas foram confirmadas sob exploração ativa, incluindo três com CVSS 10.0, o máximo possível. As duas novas falhas anunciadas em 6 de março (CVE-2026-20122 e CVE-2026-20128) não são isoladas, mas parte de uma cadeia operacional já mapeada pela Talos: atacantes usam CVE-2026-20133 para obter acesso inicial, exploram CVE-2026-20128 para roubar credenciais do Data Collection Agent e, com isso, sobrescrevem arquivos via CVE-2026-20122, implantando webshells como Godzilla e Behinder. O padrão é claro: falhas de divulgação de informações e bypass de autenticação se combinam para permitir movimentação lateral e elevação de privilégios sem necessidade de interação da vítima.
O cenário piorou com a liberação pública de PoC por ZeroZenX Labs em março, acelerando a disseminação dos ataques. A CISA já havia emitido Diretiva de Emergência ED 26-03 em fevereiro, atualizada em 11 de março, exigindo mitigação imediata por agências federais norte-americanas. E o problema persiste: em junho de 2026, surgiu a CVE-2026-20245, vulnerabilidade de alta gravidade sem patch disponível, que permite execução remota de comandos como root, e depende de outras falhas anteriores já exploradas para funcionar.
Por que isso importa
SD-WAN não é um componente periférico: é o cérebro da rede moderna de muitas empresas brasileiras, especialmente em bancos, operadoras e órgãos públicos. Uma única falha como CVE-2026-20127 ou CVE-2026-20182 permite a um atacante remoto não autenticado assumir controle total do controlador, e, com ele, reconfigurar rotas, interceptar tráfego, desabilitar links e até derrubar serviços críticos. A ausência de patches para CVE-2026-20245 mostra que o risco não está contido: há cadeias de exploração que se alimentam de múltiplas falhas acumuladas, e a atualização não é mais uma recomendação, é uma barreira mínima contra comprometimento em massa.
Linha do tempo
Cisco divulga múltiplos avisos de segurança, incluindo CVE-2026-20122, CVE-2026-20128 e CVE-2026-20127, e CISA emite Diretiva de Emergência ED 26-03
Cisco confirma exploração ativa das duas novas falhas em seus sistemas SD-WAN
Perguntas frequentes
Quais versões do Cisco Catalyst SD-WAN Manager estão seguras contra as duas novas falhas?
As versões 20.18 e posteriores corrigem CVE-2026-20128 e CVE-2026-20129. Já CVE-2026-20122 exige atualização para versões específicas listadas no aviso original da Cisco, nenhuma versão anterior à 20.18 é considerada segura contra essa cadeia de exploração.
Por que essas vulnerabilidades estão sendo exploradas tão rapidamente?
O código de prova de conceito (PoC) divulgado publicamente por ZeroZenX Labs em março de 2026 reduziu drasticamente a barreira técnica para exploração. Além disso, a combinação entre falhas de divulgação de credenciais (CVE-2026-20128) e sobrescrita arbitrária de arquivos (CVE-2026-20122) forma um fluxo operacional repetível, usado por múltiplos grupos de ameaças observados pela Talos.
Existe alguma alternativa imediata se não for possível atualizar agora?
Sim. A Cisco recomenda isolar o vManage de redes não confiáveis, revogar credenciais do Data Collection Agent, desabilitar APIs não essenciais e monitorar rigorosamente acessos SSH e logs de sistema. Mas essas medidas só retardam a exploração, não bloqueiam CVE-2026-20127 ou CVE-2026-20182, que permitem acesso remoto sem autenticação.
Essas falhas afetam apenas o vManage ou também dispositivos de borda (vEdge)?
A maior parte das falhas relatadas, incluindo CVE-2026-20122, CVE-2026-20128, CVE-2026-20127 e CVE-2026-20182, afeta diretamente o Cisco Catalyst SD-WAN Manager (antigo vManage) e o Controller (antigo vSmart). Dispositivos de borda (vEdge) não são alvo direto dessas vulnerabilidades, mas ficam expostos se o controlador for comprometido, pois recebem configurações maliciosas.
Fontes
- bleepingcomputer.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 06 de março de 2026
- Editoria
- CEVIU Segurança da Informação
