Cisco confirma sétima zero-day do SD-WAN em 2026 explorada ativamente, sem correção disponível

Sétima zero-day em cinco meses no mesmo produto

Em 5 de junho, a Cisco confirmou que o Catalyst SD-WAN Manager está sendo explorado ativamente por meio da CVE-2026-20245, falha de escalonamento de privilégios para root que ainda não tem correção disponível. É a sétima zero-day registrada no mesmo produto explorada em 2026, número destacado pela SecurityWeek ao contextualizar o alerta. O aviso de segurança foi publicado pela Cisco em 4 de junho; a cobertura especializada chegou no dia seguinte. A descoberta foi reportada por três pesquisadores do Google Mandiant: Chester Sng, Pete Boonyakarn e Logeswaran Nadarajan, todos creditados no aviso oficial da empresa.

A Cisco observou casos limitados de exploração ativa nos quais o resultado foi a propagação de alterações de configuração em dispositivos de borda (edge devices). Isso indica que os atacantes não apenas escalaram privilégios internamente: usaram o acesso de root para modificar o ambiente de rede downstream, inserindo configurações nos próprios equipamentos de borda gerenciados pelo sistema comprometido.

Técnica e cadeia de exploração

A CVE-2026-20245 tem CVSS 7.8 e reside na interface de linha de comando (CLI) do Catalyst SD-WAN Manager. A raiz do problema é a validação insuficiente de entradas fornecidas pelo usuário: um atacante com privilégios de netadmin pode carregar um arquivo especialmente construído e executar comandos arbitrários como root. O vetor exige autenticação local, o que normalmente posicionaria a ameaça em nível de impacto moderado.

O contexto muda o cálculo. A CVE-2026-20182, explorada como zero-day em maio de 2026, e a CVE-2026-20127, usada por um ator descrito pela Cisco como "altamente sofisticado" desde 2023, fornecem o caminho de entrada necessário para que um atacante remoto obtenha as credenciais de netadmin exigidas pela nova falha. Os três CVEs formam uma cadeia de escalonamento com início em acesso remoto não autenticado e fim em root sobre o sistema que gerencia toda a malha SD-WAN. A Cisco confirmou que a CVE-2026-20245 afeta todos os modelos de implantação: on-premises, Cloud-Pro, Cloud Gerenciado pela Cisco e Government (FedRAMP). Não há patch e não há workaround.

Por que sete zero-days no mesmo produto é diferente de sete incidentes isolados

A recorrência estabelece um padrão diferente do incidente individual. Sete zero-days no Catalyst SD-WAN Manager em menos de cinco meses indicam uma superfície de ataque sistematicamente subestimada, o que invalida qualquer ciclo de gestão de vulnerabilidades baseado em periodicidade. Nenhum regime de patch mensal, por mais rigoroso, fecha um zero-day ativamente explorado sem correção disponível. A pergunta que gestores de segurança precisam responder não é quando o patch chega: é quantos atores já estabeleceram persistência antes que ele exista.

Para equipes de segurança com implantações do Catalyst SD-WAN Manager, a Cisco recomendou monitorar logs em busca dos indicadores de comprometimento (IOCs) específicos divulgados no aviso. Medidas adicionais de redução de superfície incluem isolar o SD-WAN Manager da rede de gerenciamento geral e remover contas com netadmin desnecessárias; nenhuma dessas medidas elimina o risco enquanto a cadeia de acesso formada pelas CVE-2026-20182 e CVE-2026-20127 permanecer sem mitigação completa.

Leitura global: centros de entrega na Índia e redes financeiras na Europa

O Catalyst SD-WAN da Cisco é a solução dominante em redes corporativas de grande porte em múltiplas geografias. Nos centros de entrega de serviços de TI da Índia, TCS, Infosys e Wipro operam extensas redes SD-WAN da Cisco para conectar seus centros em Chennai, Pune e Bangalore aos clientes globais. Uma configuração maliciosa injetada nesses hubs de entrega, seguindo o padrão de ataque observado pela Cisco, não atinge apenas o provedor: atravessa os túneis VPN até os ambientes dos clientes finais, transformando o gerenciador comprometido em ponto de entrada para uma cadeia de fornecimento de TI que serve centenas de empresas nos EUA, na Europa e no Japão.

Na Europa, empresas dos setores financeiro e manufatureiro no Reino Unido, Alemanha e Países Baixos lideram a adoção do Cisco SD-WAN em implantações corporativas e governamentais de grande escala. A presença do produto em ambientes FedRAMP americanos e em redes financeiras europeias simultaneamente amplia o raio de impacto potencial além do que o CVSS 7.8 individualmente sugere. Para um CISO de banco ou consultoria com escritórios nos EUA, no Reino Unido e centros de entrega na Índia, a CVE-2026-20245 não é uma vulnerabilidade de gravidade média: é a peça terminal de uma cadeia de três falhas que começa em acesso remoto não autenticado e termina em root sobre o sistema que controla toda a rede.