Una vulnerabilidad crítica en Cisco Catalyst SD-WAN, identificada como CVE-2026-20127, está siendo explotada activamente en ciberataques zero-day que permiten a actores remotos comprometer controladores, insertar dispositivos maliciosos en la red y escalar privilegios hasta obtener acceso root. La alerta, publicada por Cisco, ha activado directivas de emergencia en Estados Unidos y advertencias coordinadas con Reino Unido ante el riesgo para infraestructuras críticas y redes gubernamentales.
Con una puntuación máxima de 10.0 en la escala CVSS, CVE-2026-20127 afecta a Cisco Catalyst SD-WAN Controller (anteriormente vSmart) y Cisco Catalyst SD-WAN Manager (antes vManage), tanto en implementaciones on-premise como en entornos SD-WAN Cloud.
La vulnerabilidad fue reportada por el Australian Cyber Security Centre (ACSC), dependiente del Australian Signals Directorate, y su explotación ha sido rastreada por Cisco Talos bajo la denominación UAT-8616, atribuida con alta confianza a un actor altamente sofisticado.
Fallo de autenticación en el mecanismo de peering
El origen del problema reside en un mecanismo defectuoso de autenticación de peering. Según el aviso oficial, el sistema de autenticación entre dispositivos SD-WAN “no funciona correctamente”, lo que permite a un atacante enviar solicitudes manipuladas al controlador afectado.
Si la explotación tiene éxito, el atacante puede autenticarse como un usuario interno de alto privilegio —aunque no root inicialmente— en el controlador SD-WAN. Desde esa posición, obtiene acceso a NETCONF, lo que le permite modificar la configuración de la red que compone la “fabric” SD-WAN.
En términos prácticos, el impacto es crítico: un atacante puede insertar un rogue peer, es decir, un dispositivo malicioso que aparenta ser legítimo dentro del entorno SD-WAN. Ese equipo puede establecer túneles cifrados y anunciar redes bajo control del atacante, facilitando movimientos laterales profundos dentro de la organización.
Escalada a root y evasión forense
La gravedad aumenta al conocerse que los ataques no se limitan a la autenticación inicial. Según la telemetría de Cisco Talos, la explotación activa se remonta al menos a 2023. Los socios de inteligencia de la compañía señalan que el actor probablemente consiguió acceso root degradando el firmware a una versión anterior vulnerable, explotando CVE-2022-20775 y restaurando posteriormente la versión original.
Este patrón es especialmente preocupante desde el punto de vista forense: al volver a instalar el firmware original tras la explotación, el atacante consigue privilegios root mientras reduce la probabilidad de detección. Se trata de una técnica avanzada de persistencia y evasión.
CISA emite directiva de emergencia
La amenaza ha sido considerada de impacto inminente para redes federales estadounidenses. El 25 de febrero de 2026, la Cybersecurity and Infrastructure Security Agency (CISA) emitió la Directiva de Emergencia 26-03, obligando a las agencias federales civiles a:
Inventariar todos los sistemas Cisco SD-WAN, recopilar artefactos forenses, garantizar almacenamiento externo de logs, aplicar actualizaciones de seguridad y analizar posibles compromisos vinculados a CVE-2026-20127 y CVE-2022-20775.
CISA estableció como fecha límite el 27 de febrero de 2026 a las 17:00 ET para aplicar los parches, subrayando el riesgo inmediato para las redes federales.
En paralelo, el National Cyber Security Centre (NCSC) del Reino Unido publicó una guía conjunta de “hunt and hardening” junto con CISA, advirtiendo que actores maliciosos están atacando despliegues de Cisco Catalyst SD-WAN a nivel global.
Indicadores de compromiso: qué deben revisar los equipos SOC
Cisco y Talos recomiendan revisar exhaustivamente los registros de cualquier controlador SD-WAN expuesto a Internet. Un indicador clave es la presencia en /var/log/auth.log de entradas como:
Accepted publickey for vmanage-admin from [IP desconocida]
Las direcciones IP deben compararse con las System IP configuradas en el SD-WAN Manager y con la infraestructura legítima de gestión. Si una IP no autorizada logró autenticarse, el sistema debe considerarse comprometido y abrirse un caso con Cisco TAC.
Otros indicadores incluyen creación y eliminación sospechosa de cuentas, inicios de sesión root inesperados, claves SSH no autorizadas en cuentas vmanage-admin o root, y cambios en la configuración que habiliten PermitRootLogin.
También se debe investigar la presencia de logs inusualmente pequeños o inexistentes, lo que podría indicar manipulación deliberada. Las degradaciones de software y reinicios no programados pueden señalar la explotación de CVE-2022-20775.
Para detectar esta segunda vulnerabilidad, CISA recomienda analizar los archivos:
/var/volatile/log/vdebug
/var/log/tmplog/vdebug
/var/volatile/log/sw_script_synccdb.log
Si se confirma compromiso de la cuenta root, las autoridades recomiendan realizar una reinstalación completa del sistema en lugar de intentar limpiar la infraestructura existente.
