Cisco ha confirmado que dos vulnerabilidades de Catalyst SD-WAN Manager (CVE-2026-20128 y CVE-2026-20122) parcheadas a fines de febrero de 2025 están siendo explotadas por atacantes.
Las vulnerabilidades explotadas (CVE-2026-20128, CVE-2026-20122)
CVE-2026-20128 es un error en la función Agente de recopilación de datos (DCA) de Cisco Catalyst SD-WAN Manager, que podría permitir que un atacante local autenticado obtenga privilegios de usuario de DCA en un sistema afectado.
“Para explotar esta vulnerabilidad, el atacante debe tener credenciales vmanage válidas en el sistema afectado”, explicó Cisco.
Esta vulnerabilidad se debe a la presencia de un archivo de credenciales para el usuario DCA en un sistema afectado. Un atacante podría explotar esta vulnerabilidad accediendo al sistema de archivos como un usuario con pocos privilegios y leyendo el archivo que contiene la contraseña DCA de ese sistema afectado. Una explotación exitosa podría permitir al atacante acceder a otro sistema afectado y obtener privilegios de usuario DCA.
La vulnerabilidad CVE-2026-20122 afecta la API de la solución. Si atacantes remotos autenticados la explotan con éxito, les permite sobrescribir archivos arbitrarios en el sistema afectado y obtener privilegios de usuario de vmanage .
A Arthur Vidineyev, del Grupo de Iniciativas de Seguridad Avanzada de Cisco, se le atribuye el descubrimiento de estos fallos, así como de otros tres contemplados en el mismo aviso.
“Cisco recomienda encarecidamente que los clientes actualicen a una versión de software fija para remediar estas vulnerabilidades”, agregó la compañía en el aviso actualizado .
La compañía no compartió detalles específicos sobre la explotación in-the-wild de CVE-2026-20128 y CVE-2026-20122, o si estas fallas están siendo aprovechadas por el actor de amenazas cibernéticas “altamente sofisticado” cuyas actividades fueron reveladas hace una semana.
Ese actor de amenazas explotó CVE-2026-20127, una vulnerabilidad de elusión de autenticación de día cero, para «iniciar sesión en un controlador Cisco Catalyst SD-WAN afectado como una cuenta de usuario interna, con altos privilegios y no root», y usar ese acceso para «manipular la configuración de red para la estructura SD-WAN».
Más correcciones para las soluciones de seguridad de Cisco
También hoy, Cisco corrigió 48 vulnerabilidades en el software Cisco Secure Firewall ASA, Secure FMC y Secure FTD.
Si bien la mayoría de estos son de gravedad media, dos han recibido una puntuación de gravedad máxima:
- CVE-2026-20079, una falla de omisión de autenticación en el software Cisco Secure Firewall Management Center, y
- CVE-2026-20131, una vulnerabilidad de ejecución remota de código en el mismo software
El primero se puede explotar enviando solicitudes HTTP diseñadas a un dispositivo afectado, y el último, enviando un objeto Java serializado diseñado a la interfaz de administración basada en web de un dispositivo afectado.
El Centro Nacional de Seguridad Cibernética de Holanda afirmó que espera una prueba de concepto pública y intentos a gran escala de abuso de estas fallas en el corto plazo, e instó a los administradores a actualizar a una versión corregida del software lo antes posible.
Fuente y redacción: helpnetsecurity.com
