2026-06-05 00:00
← VoltarNa quinta-feira, a Cisco alertou sobre um dia zero sem correção e de alta gravidade no Cisco Catalyst SD-WAN Manager (rastreado como CVE-2026-20245) explorado ativamente em ataques que permitem o escalonamento de privilégios de root. A falha de dia zero afeta todos os tipos de implantação, incluindo implantação no local, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed) e Cisco SD-WAN for Government (FedRAMP). Em um comunicado de quinta-feira, a Cisco disse que o problema decorre da validação insuficiente da entrada fornecida pelo usuário e pode permitir que invasores locais com poucos privilégios executem comandos arbitrários como root. “Um invasor pode explorar esta vulnerabilidade enviando um arquivo criado para o sistema afetado. Uma exploração bem-sucedida pode permitir que o invasor execute ataques de injeção de comando em um sistema afetado e eleve seus privilégios como usuário root”, explicou a empresa. "Para explorar esta vulnerabilidade, o invasor deve ter privilégios de netadmin no sistema afetado. Isso exigiria credenciais válidas ou exploração de CVE-2026-20182 ou CVE-2026-20127. A Cisco não está ciente da exploração bem-sucedida por outros métodos", acrescentou.
"A Cisco não está ciente da exploração bem-sucedida por outros métodos. A Cisco observou casos limitados em que a exploração desse bug resultou em uma alteração de configuração enviada para dispositivos de ponta." Anteriormente conhecido como SD-WAN vManage, este software de gerenciamento de...
Na quinta-feira, a Cisco alertou sobre um dia zero sem correção e de alta gravidade no Cisco Catalyst SD-WAN Manager (rastreado como CVE-2026-20245) explorado ativamente em ataques que permitem o escalonamento de privilégios de root. A falha de dia zero afeta todos os tipos de implantação, incluindo implantação no local, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed) e Cisco SD-WAN for Government (FedRAMP). Em um comunicado de quinta-feira, a Cisco disse que o problema decorre da validação insuficiente da entrada fornecida pelo usuário e pode permitir que invasores locais com poucos privilégios executem comandos arbitrários como root. “Um invasor pode explorar esta vulnerabilidade enviando um arquivo criado para o sistema afetado. Uma exploração bem-sucedida pode permitir que o invasor execute ataques de injeção de comando em um sistema afetado e eleve seus privilégios como usuário root”, explicou a empresa. "Para explorar esta vulnerabilidade, o invasor deve ter privilégios de netadmin no sistema afetado. Isso exigiria credenciais válidas ou exploração de CVE-2026-20182 ou CVE-2026-20127. A Cisco não está ciente da exploração bem-sucedida por outros métodos", acrescentou.
"A Cisco não está ciente da exploração bem-sucedida por outros métodos. A Cisco observou casos limitados em que a exploração desse bug resultou em uma alteração de configuração enviada para dispositivos de ponta." Anteriormente conhecido como SD-WAN vManage, este software de gerenciamento de rede ajuda os administradores a monitorar e gerenciar até 6.000 dispositivos Catalyst SD-WAN em um único painel. A equipe de resposta a incidentes de segurança de produtos da Cisco (PSIRT) tomou conhecimento da exploração do CVE-2026-20245 em junho, depois que a Mandiant, subsidiária de segurança cibernética do Google Cloud, relatou a falha, mas não compartilhou nenhum detalhe. No entanto, ele compartilhou indicadores de comprometimento (IOCs) alertando os administradores para verificar seu arquivo SD-WAN /var/log/scripts.log em busca de tentativas de fazer upload de dados de configuração de locatário para controladores vSmart para escalar privilégios por meio de comandos legítimos, como no exemplo a seguir: 15 de abril 09:44:57 vmanage vScript: upload da lista de locatários por número de série vsmart: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0 “Para obter ajuda para determinar se um Cisco Catalyst SD-WAN Manager foi comprometido, os clientes podem abrir um caso com o Cisco TAC”, acrescentou a empresa, aconselhando os administradores primeiro a coletar arquivos de tecnologia administrativa para ajudar na revisão. Patches de segurança ainda não disponíveis No mês passado, a Cisco também marcou uma falha de desvio de autenticação do Catalyst SD-WAN Controller de gravidade máxima (CVE-2026-20182) como explorada ativamente como um dia zero para obter privilégios administrativos em dispositivos não corrigidos. Embora a Cisco ainda não tenha lançado patches para CVE-2026-20245, ela aconselhou os clientes a atualizarem para o software corrigido para CVE-2026-20182 em 14 de maio. Em fevereiro, a Cisco corrigiu outra falha de segurança de divulgação de informações do Catalyst SD-WAN Manager (CVE-2026-20133), que a CISA sinalizou como explorada ativamente no final de abril, e, duas semanas depois, alertou que mais duas falhas (CVE-2026-20128 e CVE-2026-20122) estavam sofrendo abusos na natureza. Em março, também abordou e sinalizou uma vulnerabilidade crítica de desvio de autenticação (CVE-2026-20127) que tem sido explorada em ataques de dia zero desde pelo menos 2023.
Nos últimos anos, a CISA marcou 90 vulnerabilidades da Cisco como abusadas em estado selvagem, quatro delas no Cisco Catalyst SD-WAN Manager e outras seis exploradas por operações de ransomware.