Cve-2026-20127

Uma nova vulnerabilidade de alta severidade foi descoberta nos sistemas Cisco Catalyst SD-WAN Controller e SD-WAN Manager, permitindo que atacantes remotos não autenticados contornem a autenticação e obtenham privilégios administrativos. A falha, identificada como CVE-2026-20127, possui uma pontuação CVSS de 10.0, indicando seu potencial crítico. A exploração bem-sucedida pode permitir que um invasor acesse configurações da rede SD-WAN, comprometendo a segurança de sistemas em diversas configurações, incluindo ambientes on-premises e na nuvem. A Cisco já lançou correções para várias versões afetadas e recomenda que os usuários auditem logs de autenticação para identificar acessos não autorizados. A Australian Cyber Security Centre (ASD-ACSC) alertou que a exploração dessa vulnerabilidade está em andamento desde 2023, com um grupo de ameaças sofisticadas, identificado como UAT-8616, utilizando-a para comprometer redes SD-WAN. A CISA também emitiu uma diretiva de emergência exigindo que agências federais apliquem as correções rapidamente, destacando a urgência da situação.

A Cisco alertou sobre uma vulnerabilidade crítica de bypass de autenticação, identificada como CVE-2026-20127, que está sendo ativamente explorada em ataques zero-day. Essa falha afeta o Cisco Catalyst SD-WAN Controller e o Cisco Catalyst SD-WAN Manager, tanto em instalações locais quanto na nuvem. A vulnerabilidade permite que atacantes remotos comprometam controladores e adicionem pares maliciosos a redes-alvo. A falha está relacionada a um mecanismo de autenticação de peering que não funciona corretamente, permitindo que um invasor envie solicitações manipuladas e obtenha acesso a contas de usuário privilegiadas. Com esse acesso, o atacante pode manipular a configuração da rede SD-WAN. A Cisco recomenda que as organizações atualizem seus sistemas imediatamente, pois não há soluções alternativas que mitiguem completamente o problema. Além disso, a CISA emitiu uma diretiva de emergência exigindo que agências federais realizem inventários e apliquem patches até 27 de fevereiro de 2026, dada a gravidade da situação. A exploração da vulnerabilidade representa uma ameaça iminente para redes federais e privadas, e as organizações devem investigar atividades maliciosas em seus sistemas expostos à internet.