CVE-2026-20127

Nome do Software Vulnerável e Versões Afetadas Cisco Catalyst SD-WAN Controller (versões afetadas não especificadas) Cisco Catalyst SD-WAN Manager (versões afetadas não especificadas) Cisco Catalyst SD-WAN Validator (versões afetadas não especificadas)

Descrição Existe uma falha de bypass de autenticação no mecanismo de autenticação de emparelhamento dos sistemas afetados. Um atacante remoto não autenticado pode explorar isso enviando solicitações manipuladas para ignorar a autenticação e obter privilégios administrativos. Especificamente, um atacante pode fazer login no Cisco Catalyst SD-WAN Controller como uma conta de usuário interna de altos privilégios, não root. Esse acesso permite que o atacante utilize o NETCONF (Network Configuration Protocol) para manipular a configuração de rede da estrutura SD-WAN.

Detalhes técnicos da exploração incluem:

O ator de ameaça UAT-8616 tem explorado ativamente este problema desde pelo menos 2023. A cadeia de ataque envolve a injeção de peers maliciosos no plano de gerenciamento SD-WAN e a escalada de privilégios para root via uma vulnerabilidade secundária, enquanto suprime logs para manter persistência a longo prazo.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Restringir o acesso ao endpoint 'reports/data/opt/data/containers/config/data-collection-agent/' de redes externas usando regras de WAF ou IDS. Auditar usuários autorizados recentemente de redes externas através do endpoint '/jts/authenticated/j security check'. Auditar arquivos compactados suspeitos transmitidos através do endpoint '/dataservice/smartLicensing/uploadAck'. Inspecionar a pasta /deployments em busca de arquivos suspeitos.