Cisco revela 7º zero-day del año en SD-WAN Manager con explotación activa y sin parche

Cisco divulgó el viernes 5 de junio un zero-day de severidad alta en Catalyst SD-WAN Manager, identificado como CVE-2026-20245 y con puntuación CVSS 7.8. El bug permite que un atacante con privilegio de netadmin cargue un archivo malicioso y ejecute comandos arbitrarios como root en el host del appliance. Es el séptimo zero-day en productos SD-WAN de Cisco descubierto bajo explotación activa en 2026.

El descubrimiento vino de Mandiant, subsidiaria de ciberseguridad de Google Cloud. El equipo de Mandiant reportó el caso al PSIRT de Cisco después de detectar explotación en el entorno del cliente. Según el aviso oficial, se observaron "un número limitado de casos" en los que el vector fue utilizado para enviar cambios de configuración a dispositivos de borde. Cisco no divulgó ni el nombre de los clientes afectados ni el sector.

No hay parche. El aviso recomienda actualizar a la versión de software corregida del CVE-2026-20182, un zero-day anterior divulgado el 14 de mayo, como mitigación temporal. Cisco pide que los clientes restrinjan el acceso a la interfaz de administración y revisen registros de carga en busca de payloads sospechosos. Para los clientes en SaaS gestionado por Cisco, el equipo de la empresa aplicó endurecimiento sin acción del cliente.

¿Por qué siete zero-days en seis meses?

Los siete zero-days del año en el SD-WAN Manager no son un accidente estadístico. El producto opera en el perímetro de WAN corporativa, controla la configuración de miles de sucursales y es un objetivo prioritario para el acceso inicial de campañas de espionaje y ransomware. Quien controla el SD-WAN Manager tiene la clave de toda la red del cliente.

La divulgación acelerada de esta semana, sin parche disponible, confirma que Cisco está priorizando la comunicación a la víctima sobre el cronograma ideal de lanzamiento. La empresa anunció en mayo un cambio en el proceso de divulgación: a partir de julio, publicará avisos de seguridad dos veces al mes, el primer y el tercer miércoles, en lugar del ritmo mensual anterior. La justificación formal atribuye el cambio a la aceleración en el descubrimiento automatizado de bugs por herramientas de IA, de ambos lados de la ecuación ofensiva y defensiva.

¿Quién está expuesto?

El CVE-2026-20245 afecta toda la base de Catalyst SD-WAN Manager en despliegue on-prem, Cloud-Pro, Cisco Managed Cloud y FedRAMP. La base incluye cuentas en el sector financiero, hospitalario y gubernamental. En enero, la GAO americana listó Cisco SD-WAN como una de las tres soluciones de WAN más utilizadas en agencias del ejecutivo federal. En el Reino Unido, el producto está en uso en una parte significativa de los departamentos centrales bajo arreglos del Crown Commercial Service. En Japón, Cisco reporta presencia en la mayoría de los megabancos.

La categoría de "atacante con privilegio netadmin" parece restrictiva, pero en el entorno de un operador de telecomunicaciones y de MSP este perfil es común entre ingenieros subcontratados. La filtración de credenciales o el phishing dirigido contra el equipo operativo del socio eliminan la barrera. Mandiant no atribuyó públicamente el autor de los ataques observados.

Para la CISA, en el boletín del jueves, se recomendó tratarlo como "zero-day en explotación activa". Las agencias federales deben desactivar el acceso público a la interfaz de administración inmediatamente y activar el registro completo de cambios de configuración. La CISA aún no ha agregado el CVE-2026-20245 al KEV Catalog, lo que mantiene abierta la ventana para que los proveedores privados puedan priorizar a su propia conveniencia. El SolarWinds Serv-U CVE-2026-28318, también divulgado el día 5 con CVSS 7.5 por denegación de servicio, fue agregado al KEV el mismo día, con plazo de remediación federal para el 19 de junio.

El mensaje para el CISO fuera de EE. UU.

Para un CISO de banco en Frankfurt, en São Paulo o en Singapur, la ventana de exposición entre hoy y el lanzamiento del parche de Cisco es lo que importa. Investigadores de seguridad estiman, con base en un escaneo de Shodan, que hay en el orden de 1.500 instancias de SD-WAN Manager expuestas directamente a internet. Ninguna de estas instalaciones debería estar expuesta de esta manera, pero lo están.

En el Reino Unido, el NCSC publicó una alerta paralela recomendando que los operadores de infraestructura crítica designados por el NIS Regulations 2018 traten el CVE-2026-20245 como una prioridad máxima de mitigación. En Alemania, el BSI emitió una nota técnica para los clientes del Bund. Para los CIOs en el sector financiero brasileño, que estandarizaron MPLS en transición a SD-WAN en los últimos cinco años, el punto operativo es verificar si el operador subcontratado tiene visibilidad del CVE y un procedimiento de mitigación activo antes del fin de semana.

Cisco prometió el parche para la próxima ventana de lanzamiento, sin fecha específica.