Cisco confirma séptima zero-day del SD-WAN en 2026 explotada activamente, sin corrección disponible

Séptima zero-day en cinco meses en el mismo producto

El 5 de junio, Cisco confirmó que el Catalyst SD-WAN Manager está siendo explotado activamente a través de la CVE-2026-20245, una falla de escalamiento de privilegios para root que aún no tiene corrección disponible. Es la séptima zero-day registrada en el mismo producto explotada en 2026, cifra destacada por SecurityWeek al contextualizar la alerta. El aviso de seguridad fue publicado por Cisco el 4 de junio; la cobertura especializada llegó al día siguiente. El descubrimiento fue reportado por tres investigadores de Google Mandiant: Chester Sng, Pete Boonyakarn y Logeswaran Nadarajan, todos acreditados en el aviso oficial de la empresa.

Cisco observó casos limitados de explotación activa en los cuales el resultado fue la propagación de cambios de configuración en dispositivos de borde (edge devices). Esto indica que los atacantes no solo escalaron privilegios internamente, sino que usaron el acceso de root para modificar el entorno de red downstream, insertando configuraciones en los propios equipos de borde gestionados por el sistema comprometido.

Técnica y cadena de explotación

La CVE-2026-20245 tiene un CVSS de 7.8 y reside en la interfaz de línea de comandos (CLI) del Catalyst SD-WAN Manager. La raíz del problema es la validación insuficiente de entradas proporcionadas por el usuario: un atacante con privilegios de netadmin puede cargar un archivo especialmente elaborado y ejecutar comandos arbitrarios como root. El vector requiere autenticación local, lo que normalmente posicionaría la amenaza en un nivel de impacto moderado.

El contexto cambia el cálculo. La CVE-2026-20182, explotada como zero-day en mayo de 2026, y la CVE-2026-20127, utilizada por un actor descrito por Cisco como "altamente sofisticado" desde 2023, proporcionan el camino de entrada necesario para que un atacante remoto obtenga las credenciales de netadmin requeridas por la nueva falla. Las tres CVEs forman una cadena de escalamiento que comienza en acceso remoto no autenticado y termina en root sobre el sistema que gestiona toda la malla SD-WAN. Cisco confirmó que la CVE-2026-20245 afecta a todos los modelos de implementación: on-premises, Cloud-Pro, Cloud gestionado por Cisco y Government (FedRAMP). No hay parche y no hay solución alternativa.

Por qué siete zero-days en el mismo producto es diferente de siete incidentes aislados

La recurrencia establece un patrón diferente del incidente individual. Siete zero-days en el Catalyst SD-WAN Manager en menos de cinco meses indican una superficie de ataque sistemáticamente subestimada, lo que invalida cualquier ciclo de gestión de vulnerabilidades basado en periodicidad. Ningún régimen de parche mensual, por más riguroso que sea, cierra un zero-day activamente explotado sin corrección disponible. La pregunta que los gerentes de seguridad necesitan responder no es cuándo llega el parche: es cuántos actores ya han establecido persistencia antes de que este exista.

Para equipos de seguridad con implementaciones del Catalyst SD-WAN Manager, Cisco recomendó monitorear registros en busca de los indicadores de compromiso (IOCs) específicos divulgados en el aviso. Medidas adicionales de reducción de superficie incluyen aislar el SD-WAN Manager de la red de gestión general y eliminar cuentas con netadmin innecesarias; ninguna de estas medidas elimina el riesgo mientras la cadena de acceso formada por las CVE-2026-20182 y CVE-2026-20127 permanezca sin mitigación completa.

Lectura global: centros de entrega en India y redes financieras en Europa

El Catalyst SD-WAN de Cisco es la solución dominante en redes corporativas de gran porte en múltiples geografías. En los centros de entrega de servicios de TI de India, TCS, Infosys y Wipro operan extensas redes SD-WAN de Cisco para conectar sus centros en Chennai, Pune y Bangalore a los clientes globales. Una configuración maliciosa inyectada en estos hubs de entrega, siguiendo el patrón de ataque observado por Cisco, no solo afecta al proveedor: atraviesa los túneles VPN hasta los entornos de los clientes finales, transformando el gerente comprometido en un punto de entrada para una cadena de suministro de TI que sirve a cientos de empresas en EE.UU., Europa y Japón.

En Europa, empresas de los sectores financiero y manufacturero en el Reino Unido, Alemania y los Países Bajos lideran la adopción del Cisco SD-WAN en implementaciones corporativas y gubernamentales a gran escala. La presencia del producto en entornos FedRAMP estadounidenses y en redes financieras europeas simultáneamente amplía el radio de impacto potencial más allá de lo que el CVSS 7.8 sugiere individualmente. Para un CISO de banco o consultoría con oficinas en EE.UU., Reino Unido y centros de entrega en India, la CVE-2026-20245 no es una vulnerabilidad de gravedad media: es la pieza terminal de una cadena de tres fallas que comienza en acceso remoto no autenticado y termina en root sobre el sistema que controla toda la red.