1. Alertas de Seguridad
  2. Vulnerabilidad Crítica (CVE-2026-20127) - Bypass de Autenticación en Cisco Catalyst SD-WAN

Vulnerabilidad Crítica (CVE-2026-20127) - Bypass de Autenticación en Cisco Catalyst SD-WAN

Fecha de publicación: Vie, 27/02/2026 - 15:40

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

Cisco ha divulgado una vulnerabilidad crítica de tipo zero-day identificada como CVE-2026-20127, que afecta a los componentes de Cisco Catalyst SD-WAN. El fallo reside en una validación insuficiente durante el proceso de autenticación de "peering", lo que permite a un atacante remoto no autenticado realizar un bypass de seguridad.

El atacante puede obtener privilegios administrativos en el sistema sin necesidad de credenciales válidas. Según informes, esta vulnerabilidad ha sido explotada activamente en campañas reales (identificadas como UAT-8616) presuntamente desde el año 2023. Los atacantes han utilizado este acceso para insertar claves SSH, crear cuentas fraudulentas y manipular logs para ocultar su rastro.

Recursos afectados

  • Cisco Catalyst SD-WAN Controller(anteriormente vSmart).

  • Cisco Catalyst SD-WAN Manager (anteriormente vManage).

  • Interfaces de gestión como NETCONF (puerto TCP 830).

Solución/Mitigación

Cisco ha confirmado que no existen medidas de mitigación temporales (workarounds) efectivas. La única solución definitiva es la actualización a las versiones de software corregidas proporcionadas por el fabricante.

Se recomienda priorizar de forma inmediata la actualización de los controladores SD-WAN que tengan exposición directa a Internet.

Indicadores de compromiso

  • Entradas en "/var/log/auth.log" con el mensaje Accepted publickey for vmanage-admin desde direcciones IP desconocidas o no autorizadas.

  • Creación de usuarios locales con nombres que intentan imitar cuentas legítimas.

  • Inserción de claves SSH autorizadas para el usuario root.

  • Evidencia de "downgrade" de versiones de software (posible uso del CVE-2022-20775 para escalar a root) y posterior restauración para dificultar el análisis forense.

Recomendaciones

  • Aplicar los parches oficiales de Cisco de manera inmediata.

  • Validar la integridad de los archivos del sistema y revisar cualquier cambio no autorizado en la configuración de cuentas y llaves SSH.

  • Siempre que sea posible, restringir el acceso a las interfaces de gestión (NETCONF/SSH) solo a redes internas o mediante VPN.

Referencias