Cisco: Exploração ativa de duas falhas no Catalyst SD-WAN

A Cisco atualizou na quinta-feira (5) seu aviso de segurança para alertar que duas vulnerabilidades corrigidas no Catalyst SD-WAN Manager estão a ser ativamente exploradas. As falhas, CVE-2026-20128 e CVE-2026-20122, fazem parte de um conjunto de cinco correções disponibilizadas em 25 de fevereiro.

Falhas permitem roubo de credenciais e controlo de sistemas

A primeira vulnerabilidade, CVE-2026-20128, é um problema de divulgação de informação na funcionalidade Data Collection Agent (DCA). Segundo a Cisco, um ficheiro de credenciais exposto permite que atacantes locais autenticados obtenham privilégios de utilizador DCA no sistema.

A segunda, CVE-2026-20122, é um bug de sobrescrita arbitrária de ficheiros na API. Conforme a empresa, permite que atacantes remotos autenticados, com acesso de apenas leitura, sobrescrevam ficheiros e obtenham privilégios elevados.

A Cisco não partilhou detalhes específicos sobre os ataques, mas a descrição indica que as falhas podem estar a ser encadeadas.

Ameaça sofisticada permanece ativa desde 2023

Este anúncio surge após a Cisco alertar para uma vulnerabilidade crítica de dia zero (CVE-2026-20127) no Catalyst SD-WAN, explorada desde 2023. A CISA reportou que essa falha foi encadeada com uma vulnerabilidade mais antiga (CVE-2022-20775) para contornar autenticação e escalar privilégios.

A Cisco Talos associou esses ataques ao UAT-8616, um ator de ameaça sofisticado ativo desde 2023. Não é claro se todas as vulnerabilidades foram exploradas nas mesmas campanhas.

Atualizações e recomendações

A Cisco disponibilizou correções nas versões 20.9.8.2, 20.12.5.3, 20.12.6.1, 20.15.4.2 e 20.18.2.1. A empresa recomenda atualizar imediatamente, restringir acesso à internet ao portal SD-WAN Manager e monitorizar logs para comportamento anómalo.