Cisco corrige sexta zero-day de SD-WAN em 2026 sob exploração ativa
CVE-2026-20182 permite bypass de autenticação no Catalyst SD-WAN Controller e escalada para root. Grupo identificado como UAT-8616 já modificava configurações NETCONF nos sistemas comprometidos. CISA exigiu correção em três dias.
A Cisco divulgou em 19 de maio correção para a sexta vulnerabilidade zero-day em sua linha SD-WAN ao longo de 2026. A CVE-2026-20182, identificada pela Rapid7 e reportada em março, permite que atacantes remotos obtenham privilégios administrativos no Cisco Catalyst SD-WAN Controller, antigo vSmart, e no SD-WAN Manager, antigo vManage, por meio de pacotes especialmente formados.
A CISA incluiu a falha no catálogo Known Exploited Vulnerabilities no mesmo dia, com prazo de três dias para que agências federais apliquem a correção. O timeline curto reflete o nível de exploração já observado em produção.
UAT-8616 e o ataque ao núcleo da rede
O grupo identificado pela Cisco como UAT-8616 foi observado adicionando chaves SSH, modificando configurações NETCONF e escalando para root nos sistemas comprometidos. O perfil de atividade aponta para um ator com capacidade técnica avançada e foco em persistência, não para campanhas oportunistas de ransomware.
A Cisco classificou o grupo como altamente sofisticado. A escolha do alvo é estratégica: controladores SD-WAN orquestram tráfego entre filiais, data centers e nuvens em ambientes corporativos. Quem controla esse plano de orquestração tem visibilidade e capacidade de interceptação sobre praticamente toda a rede da organização.
O padrão que se desenha em 2026
Cinco outras CVEs em produtos SD-WAN da Cisco foram exploradas ativamente ao longo deste ano: CVE-2026-20128, CVE-2026-20122, CVE-2026-20133, CVE-2026-20127 e a CVE-2022-20775, ainda em circulação. A repetição sugere falhas estruturais no design de autenticação da linha, e não bugs isolados.
Para CIOs e CISOs de empresas que dependem de SD-WAN para conectividade multi-cloud, a sequência tem implicação direta na arquitetura: segmentação interna do plano de controle, monitoramento contínuo de mudanças em NETCONF e revisão de políticas de privilégio em controladores deixaram de ser hardening recomendado para virar resposta obrigatória. O fato de a vulnerabilidade ter levado mais de dois meses entre reporte e correção pública também reabre o debate sobre patch SLA em equipamentos de borda críticos.