Una vulnerabilidad crítica en las soluciones Cisco Catalyst SD-WAN está siendo explotada activamente por actores de amenazas desde al menos el año 2023, según confirmaron la compañía e investigadores de seguridad. La falla, que permaneció como un ataque «zero-day» durante tres años, permite a atacantes remotos evadir los mecanismos de autenticación y obtener acceso administrativo como usuario interno con altos privilegios en sistemas vulnerables, lo que podría permitir la manipulación de la configuración de la infraestructura de red.
El problema, identificado como CVE-2026-20127 (CVSS 10.0), afecta a los controladores de la plataforma y permite evadir los mecanismos de autenticación debido a una falla en el proceso de autenticación entre los componentes del sistema. De esta forma, un atacante remoto puede enviar solicitudes manipuladas para acceder al sistema con privilegios elevados sin necesidad de credenciales legítimas ni interacción del usuario.
Análisis del impacto y control de red
Según el aviso de seguridad del fabricante, el fallo reside en una debilidad crítica en el proceso de autenticación entre los componentes de la arquitectura SD-WAN. Si se explota con éxito, el atacante puede:
- Evadir controles de acceso.
- Obtener acceso como usuario interno con altos privilegios.
- Acceder a interfaces de gestión como NETCONF y modificar la configuración de la red.
Investigadores de Cisco Talos atribuyen esta actividad prolongada al actor de amenazas UAT-8616. El grupo ha demostrado una sofisticación inusual, utilizando técnicas de encadenamiento de vulnerabilidades para asegurar su permanencia en redes de organizaciones de alto valor y operadores de infraestructura crítica.
Sistemas afectados y parches de seguridad
La vulnerabilidad impacta directamente a los componentes centrales de la arquitectura:
- Cisco Catalyst SD-WAN Controller (anteriormente vSmart).
- Cisco Catalyst SD-WAN Manager (anteriormente vManage).
El fallo compromete tanto los despliegues locales (on-premise) como los entornos gestionados en la nube. Cisco ha informado que no existen soluciones alternativas (workarounds), por lo cual la instalación inmediata de las actualizaciones de seguridad es la única medida de mitigación efectiva.
Recomendaciones y Detección
Para asegurar la integridad de la red, se recomienda a las organizaciones:
- Actualización Inmediata: Aplicar los parches de software oficiales de forma prioritaria.
- Restricción de Perímetro: Bloquear el acceso desde redes no seguras e internet, permitiendo solo hosts de confianza mediante puertos específicos.
- Segmentación por Firewall: Proteger los componentes tras firewalls (idealmente de doble capa) para evitar conexiones directas a la DMZ externa.
- Gestión de Accesos: Cambiar la contraseña por defecto del administrador, crear cuentas de operador con privilegios mínimos y evitar el uso de la cuenta raíz.
- Desactivación de Servicios: Deshabilitar protocolos innecesarios e inseguros, como HTTP (en el portal web de SD-WAN Manager) y FTP.
- Cifrado y Certificados: Implementar el uso obligatorio de SSL/TLS mediante certificados de una autoridad certificadora (CA).
- Auditoría y Logs: Supervisar el tráfico web y exportar los registros a un servidor de logs externo para permitir investigaciones forenses prolongadas.
La vulnerabilidad refuerza el creciente interés de los atacantes en comprometer infraestructuras de red críticas como punto de entrada a organizaciones. El hecho de que la falla haya permanecido explotable durante años sin detección subraya la importancia de mantener controles de monitoreo continuo en los sistemas expuestos a internet y aplicar actualizaciones de seguridad de forma oportuna.
Fuente
Ciberprisma - alianza por la ciberseguridad 