Un actor de amenaza desconocido ha explotado activamente una vulnerabilidad crítica de día cero (zero-day) en Cisco Catalyst SD-WAN (CVE-2026-20245) para obtener acceso de nivel de administrador raíz (root access). La firma de seguridad Mandiant, propiedad de Google, reveló que esta falla fue utilizada en ataques al menos dos meses antes de su divulgación pública, afectando a proveedores de servicios de comunicación.
La vulnerabilidad, con una puntuación CVSS de 7.8, permite a un atacante local autenticado con privilegios de netadmin ejecutar comandos arbitrarios con permisos elevados. Esto se logra al suministrar un archivo manipulado al sistema, aprovechando una validación insuficiente de la entrada del usuario. Los atacantes demostraron una alta sofisticación, empleando técnicas anti-forenses para evadir la detección, como la eliminación selectiva y la restauración de archivos de configuración del sistema modificados durante sus actividades.
El incidente de explotación involucró dos períodos distintos de actividad no autorizada, donde los atacantes lograron escalar privilegios y crear cuentas de usuario ocultas con control completo de la shell, como la cuenta ‘troot’. Se sospecha que estas acciones pudieron haberse enlazado con explotaciones anteriores de otras vulnerabilidades de día cero en controladores Cisco SD-WAN (CVE-2026-20127 o CVE-2026-20182) o mediante el uso de certificados robados para obtener acceso inicial.
Ante la gravedad de esta amenaza, Cisco ha reconocido la explotación activa de la vulnerabilidad. Es crucial que las organizaciones implementen urgentemente las actualizaciones de seguridad proporcionadas por Cisco para proteger sus dispositivos Catalyst SD-WAN. Además de aplicar parches, es fundamental revisar y fortalecer la configuración de seguridad, así como monitorear cualquier actividad inusual o cuentas de usuario sospechosas.
Qué significa para tu empresa: La explotación de día cero en dispositivos de borde como los SD-WAN subraya la necesidad de una postura de seguridad proactiva y robusta. Estos sistemas a menudo carecen de telemetría avanzada para un análisis forense profundo, lo que permite a los atacantes establecer una persistencia sigilosa. Un SOC con monitoreo 24/7 es esencial para detectar patrones de ataque sofisticados y el comportamiento anómalo que las herramientas de seguridad perimetral tradicionales podrían pasar por alto, garantizando la visibilidad y respuesta ante amenazas avanzadas.
Fuente original: The Hacker News — ver artículo →