Cisco revela 7º zero-day do ano em SD-WAN Manager com exploração ativa e sem patch

A Cisco divulgou na sexta-feira, 5 de junho, um zero-day de severidade alta no Catalyst SD-WAN Manager, identificado como CVE-2026-20245 e com pontuação CVSS 7,8. O bug permite que um atacante com privilégio de netadmin faça upload de um arquivo malicioso e execute comandos arbitrários como root no host do appliance. É o sétimo zero-day em produtos SD-WAN da Cisco descoberto sob exploração ativa em 2026.

A descoberta veio do Mandiant, subsidiária de cybersecurity da Google Cloud. O time da Mandiant reportou o caso ao PSIRT da Cisco depois de detectar exploração em ambiente cliente. Segundo o aviso oficial, foram observados "um número limitado de casos" em que o vetor foi usado para enviar mudança de configuração para dispositivos de borda. A Cisco não divulgou nem o nome dos clientes afetados nem o setor.

Não há patch. O aviso recomenda upgrade para a versão de software corrigida do CVE-2026-20182, zero-day anterior divulgado em 14 de maio, como mitigação temporária. A Cisco pede que clientes restrinjam acesso à interface de administração e revisem logs de upload em busca de payloads suspeitos. Para clientes em SaaS gerenciado pela Cisco, o time da empresa aplicou hardening sem ação do cliente.

Por que sete zero-days em seis meses

Os sete zero-days do ano no SD-WAN Manager não são acidente estatístico. O produto opera no perímetro de WAN corporativa, controla configuração de milhares de filiais e é alvo prioritário para acesso inicial de campanhas de espionagem e ransomware. Quem controla o SD-WAN Manager tem chave da rede inteira do cliente.

A divulgação acelerada desta semana, sem patch disponível, confirma que a Cisco está priorizando comunicação à vítima sobre cronograma ideal de release. A empresa anunciou em maio mudança no processo de disclosure: a partir de julho, vai publicar avisos de segurança duas vezes por mês, primeira e terceira quartas-feiras, em vez do ritmo mensal anterior. A justificativa formal atribui a mudança à aceleração na descoberta automatizada de bugs por ferramentas de IA, dos dois lados da equação ofensiva e defensiva.

Quem está exposto

O CVE-2026-20245 afeta toda a base de Catalyst SD-WAN Manager em deployment on-prem, Cloud-Pro, Cisco Managed Cloud e FedRAMP. A base inclui contas no setor financeiro, hospitalar e governamental. Em janeiro, o GAO americano listou Cisco SD-WAN como uma das três soluções de WAN mais usadas em agências do executivo federal. No Reino Unido, o produto está em uso em parte significativa dos departamentos centrais sob arranjos do Crown Commercial Service. No Japão, a Cisco reporta presença na maioria dos megabancos.

A categoria de "atacante com privilégio netadmin" parece restritiva, mas em ambiente de operadora de telecom e de MSP esse perfil é comum entre engenheiros terceirizados. Vazamento de credencial ou phishing direcionado contra time de operação do parceiro elimina a barreira. A Mandiant não atribuiu publicamente o autor dos ataques observados.

Para a CISA, no boletim de quinta-feira, foi recomendado tratamento como "zero-day em exploração ativa". Agências federais devem desligar o acesso público à interface admin imediatamente e ativar logging completo de mudança de configuração. A CISA ainda não adicionou o CVE-2026-20245 ao KEV Catalog, o que mantém a janela aberta para que fornecedores privados possam priorizar à própria conveniência. A SolarWinds Serv-U CVE-2026-28318, também divulgada no dia 5 com CVSS 7,5 por denial-of-service, foi adicionada ao KEV no mesmo dia, com prazo de remediação federal para 19 de junho.

O recado para o CISO fora dos EUA

Para um CISO de banco em Frankfurt, em São Paulo ou em Cingapura, a janela de exposição entre hoje e o lançamento do fix da Cisco é o que importa. Pesquisadores de segurança estimam, com base em varredura do Shodan, que há na ordem de 1.500 instâncias de SD-WAN Manager expostas diretamente à internet. Nenhuma dessas instalações deveria estar exposta dessa forma, mas estão.

No Reino Unido, o NCSC publicou alerta paralelo recomendando que operadores de infraestrutura crítica designados pela NIS Regulations 2018 tratem o CVE-2026-20245 como prioridade máxima de mitigação. Na Alemanha, o BSI emitiu nota técnica para clientes do Bund. Para CIOs no setor financeiro brasileiro, que padronizaram MPLS em transição para SD-WAN nos últimos cinco anos, o ponto operacional é checar se a operadora terceirizada tem visibilidade do CVE e procedimento de mitigação ativo antes do fim de semana.

A Cisco prometeu o patch para a próxima janela de release, sem data específica.