- Hackers exploram falha zero-day CVE-2026-20245 no Cisco Catalyst SD-WAN Manager, visando obter privilégios máximos na interface de linha de comando.
- A vulnerabilidade permite que um usuário autenticado com direitos administrativos envie um arquivo específico e execute comandos com alta elevação de privilégio.
- A campanha ocorreu em duas fases: fim de 2025 a janeiro de 2026, com conexões não autorizadas a dispositivos SD-WAN Manager; e, a partir de março de 2026, novas entradas por SSH com conta padrão e cópia de configurações de dispositivos.
- Os invasores teriam alterado senhas administrativas temporariamente, acessado a interface web e obtido modelos de configuração e informações em execução nos equipamentos de borda.
- A Cisco disponibilizou correções para as versões afetadas do Catalyst SD-WAN Manager.
O Cisco Catalyst SD-WAN Manager está sendo explorado por cibercriminosos por meio de uma falha zero-day. A vulnerabilidade, identificada como CVE-2026-20245, afeta a interface de linha de comando da solução e foi observada em uma campanha contra a infraestrutura SD-WAN de um grande provedor de serviços. A atuação busca obter privilégios administrativos.
Segundo as investigações, os invasores partiram de contas administrativas já comprometidas para ampliar o controle sobre os sistemas afetados. A falha permite que um usuário autenticado com permissões administrativas envie um arquivo especialmente criado e execute comandos com privilégios elevados. O cenário pode dar controle total sobre o plano de gerenciamento da rede.
A campanha ocorreu em duas fases distintas. Entre o fim de 2025 e janeiro de 2026, houve conexões não autorizadas com dispositivos SD-WAN Manager, possivelmente explorando falhas de autenticação ainda não corrigidas. A partir de março de 2026, o grupo retomou acessos fraudulentos, com entrada via SSH por uma conta padrão e alteração temporária de senhas administrativas.
Detalhes técnicos e desdobramentos
A atividade permitiu acesso à interface web e à cópia de configurações de dispositivos de borda, incluindo modelos de configuração e informações em execução. Com isso, as informações sensíveis poderiam ser expostas ou usadas para ampliar o controle sobre a rede.
Resposta e medidas recomendadas
A Cisco disponibilizou correções para as versões afetadas do Catalyst SD-WAN Manager. Empresas que utilizam a solução devem aplicar as atualizações, revisar credenciais administrativas e verificar logs de acesso suspeitos, especialmente entradas via SSH.
Implicações para a segurança de SD-WAN
Especialistas enfatizam a importância de segmentação de redes, práticas de senhas fortes e monitoramento contínuo de atividades administrativas. A divulgação não revela identidades do grupo, mas reforça a necessidade de patches rápidos e validação de autenticação.
Entre na conversa da comunidade