Cisco corrige sexta zero-day de SD-WAN en 2026 bajo explotación activa
CVE-2026-20182 permite omitir la autenticación en el Catalyst SD-WAN Controller y escalar a root. El grupo identificado como UAT-8616 ya modificaba configuraciones NETCONF en los sistemas comprometidos. CISA exigió corrección en tres días.
Cisco divulgó el 19 de mayo la corrección para la sexta vulnerabilidad zero-day en su línea SD-WAN a lo largo de 2026. La CVE-2026-20182, identificada por Rapid7 y reportada en marzo, permite que atacantes remotos obtengan privilegios administrativos en el Cisco Catalyst SD-WAN Controller, antiguo vSmart, y en el SD-WAN Manager, antiguo vManage, a través de paquetes especialmente formados.
La CISA incluyó la falla en el catálogo Known Exploited Vulnerabilities el mismo día, con un plazo de tres días para que las agencias federales apliquen la corrección. El corto plazo refleja el nivel de explotación ya observado en producción.
UAT-8616 y el ataque al núcleo de la red
El grupo identificado por Cisco como UAT-8616 fue observado añadiendo claves SSH, modificando configuraciones NETCONF y escalando a root en los sistemas comprometidos. El perfil de actividad apunta a un actor con capacidad técnica avanzada y enfoque en la persistencia, no a campañas oportunistas de ransomware.
Cisco clasificó al grupo como altamente sofisticado. La elección del objetivo es estratégica: los controladores SD-WAN orquestan tráfico entre sucursales, centros de datos y nubes en entornos corporativos. Quien controla este plano de orquestación tiene visibilidad y capacidad de interceptación sobre prácticamente toda la red de la organización.
El patrón que se dibuja en 2026
Cinco CVEs más en productos SD-WAN de Cisco han sido explotados activamente a lo largo de este año: CVE-2026-20128, CVE-2026-20122, CVE-2026-20133, CVE-2026-20127 y la CVE-2022-20775, aún en circulación. La repetición sugiere fallas estructurales en el diseño de autenticación de la línea, y no bugs aislados.
Para CIOs y CISOs de empresas que dependen de SD-WAN para conectividad multi-cloud, la secuencia tiene implicación directa en la arquitectura: segmentación interna del plano de control, monitoreo continuo de cambios en NETCONF y revisión de políticas de privilegio en controladores han dejado de ser recomendaciones de hardening para convertirse en una respuesta obligatoria. El hecho de que la vulnerabilidad haya tardado más de dos meses entre el reporte y la corrección pública también reabre el debate sobre el SLA de parches en equipos de borde críticos.