CEVIU Logo
Voltar

Cisco descobre duas novas vulnerabilidades SD-WAN em exploração ativa

Aprofundamento CEVIU

Aprofundamento

A Cisco enfrenta uma crise de segurança recorrente em sua plataforma SD-WAN: desde fevereiro de 2026, pelo menos sete vulnerabilidades críticas foram confirmadas sob exploração ativa, incluindo três com CVSS 10.0, o máximo possível. As duas novas falhas anunciadas em 6 de março (CVE-2026-20122 e CVE-2026-20128) não são isoladas, mas parte de uma cadeia operacional já mapeada pela Talos: atacantes usam CVE-2026-20133 para obter acesso inicial, exploram CVE-2026-20128 para roubar credenciais do Data Collection Agent e, com isso, sobrescrevem arquivos via CVE-2026-20122, implantando webshells como Godzilla e Behinder. O padrão é claro: falhas de divulgação de informações e bypass de autenticação se combinam para permitir movimentação lateral e elevação de privilégios sem necessidade de interação da vítima.

O cenário piorou com a liberação pública de PoC por ZeroZenX Labs em março, acelerando a disseminação dos ataques. A CISA já havia emitido Diretiva de Emergência ED 26-03 em fevereiro, atualizada em 11 de março, exigindo mitigação imediata por agências federais norte-americanas. E o problema persiste: em junho de 2026, surgiu a CVE-2026-20245, vulnerabilidade de alta gravidade sem patch disponível, que permite execução remota de comandos como root, e depende de outras falhas anteriores já exploradas para funcionar.

Por que isso importa

SD-WAN não é um componente periférico: é o cérebro da rede moderna de muitas empresas brasileiras, especialmente em bancos, operadoras e órgãos públicos. Uma única falha como CVE-2026-20127 ou CVE-2026-20182 permite a um atacante remoto não autenticado assumir controle total do controlador, e, com ele, reconfigurar rotas, interceptar tráfego, desabilitar links e até derrubar serviços críticos. A ausência de patches para CVE-2026-20245 mostra que o risco não está contido: há cadeias de exploração que se alimentam de múltiplas falhas acumuladas, e a atualização não é mais uma recomendação, é uma barreira mínima contra comprometimento em massa.

Linha do tempo

  1. Cisco divulga múltiplos avisos de segurança, incluindo CVE-2026-20122, CVE-2026-20128 e CVE-2026-20127, e CISA emite Diretiva de Emergência ED 26-03

  2. Cisco confirma exploração ativa das duas novas falhas em seus sistemas SD-WAN

Perguntas frequentes

Quais versões do Cisco Catalyst SD-WAN Manager estão seguras contra as duas novas falhas?

As versões 20.18 e posteriores corrigem CVE-2026-20128 e CVE-2026-20129. Já CVE-2026-20122 exige atualização para versões específicas listadas no aviso original da Cisco, nenhuma versão anterior à 20.18 é considerada segura contra essa cadeia de exploração.

Por que essas vulnerabilidades estão sendo exploradas tão rapidamente?

O código de prova de conceito (PoC) divulgado publicamente por ZeroZenX Labs em março de 2026 reduziu drasticamente a barreira técnica para exploração. Além disso, a combinação entre falhas de divulgação de credenciais (CVE-2026-20128) e sobrescrita arbitrária de arquivos (CVE-2026-20122) forma um fluxo operacional repetível, usado por múltiplos grupos de ameaças observados pela Talos.

Existe alguma alternativa imediata se não for possível atualizar agora?

Sim. A Cisco recomenda isolar o vManage de redes não confiáveis, revogar credenciais do Data Collection Agent, desabilitar APIs não essenciais e monitorar rigorosamente acessos SSH e logs de sistema. Mas essas medidas só retardam a exploração, não bloqueiam CVE-2026-20127 ou CVE-2026-20182, que permitem acesso remoto sem autenticação.

Essas falhas afetam apenas o vManage ou também dispositivos de borda (vEdge)?

A maior parte das falhas relatadas, incluindo CVE-2026-20122, CVE-2026-20128, CVE-2026-20127 e CVE-2026-20182, afeta diretamente o Cisco Catalyst SD-WAN Manager (antigo vManage) e o Controller (antigo vSmart). Dispositivos de borda (vEdge) não são alvo direto dessas vulnerabilidades, mas ficam expostos se o controlador for comprometido, pois recebem configurações maliciosas.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
06 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser