A Cisco emitiu um alerta sobre uma falha crítica de bypass de autenticação no seu Catalyst SD-WAN Controller. O problema, que atinge a pontuação máxima de severidade de 10.0, está a ser explorado ativamente em ataques de dia zero, segundo a publicação da Rapid7. A ameaça permite que os atacantes obtenham privilégios administrativos nos equipamentos afetados, exigindo uma intervenção imediata das equipas de segurança.
O impacto direto na configuração das redes
A vulnerabilidade, identificada como CVE-2026-20182, afeta as implementações locais e na nuvem do Cisco Catalyst SD-WAN Controller e do SD-WAN Manager. A origem do problema reside num mecanismo de autenticação de emparelhamento que não está a funcionar corretamente. Um atacante consegue explorar esta fraqueza ao enviar pedidos manipulados para o sistema em causa.
Caso a exploração seja bem-sucedida, o indivíduo mal-intencionado consegue iniciar sessão no controlador como uma conta de utilizador interna de altos privilégios. A partir desse ponto, ganha acesso à interface NETCONF, o que possibilita a manipulação completa da configuração da rede para a estrutura SD-WAN. Ao adicionar um dispositivo falso ao emparelhamento, o atacante insere um elemento malicioso no ambiente que parece legítimo, permitindo o estabelecimento de ligações encriptadas e o acesso mais profundo à rede da organização para capturar ou modificar dados.
Histórico de incidentes e recomendações de segurança
A Cisco detetou atores de ameaças a explorar esta vulnerabilidade em maio, embora não tenha partilhado as minúcias sobre as táticas utilizadas nos ataques. O problema foi inicialmente descoberto durante a investigação de uma outra vulnerabilidade no controlador SD-WAN da fabricante, a CVE-2026-20127, que foi resolvida no mês de fevereiro e explorada pelo grupo UAT-8616.
Sem soluções de contorno que mitiguem o problema de forma definitiva, a fabricante disponibilizou atualizações de software e recomenda a sua instalação. A agência governamental norte-americana CISA já adicionou a vulnerabilidade ao seu catálogo de ameaças conhecidas, ordenando que as agências federais apliquem as correções exigidas até 17 de maio de 2026.
As organizações são fortemente aconselhadas a rever os registos de autenticação, nomeadamente o ficheiro de registo do sistema, à procura de endereços IP desconhecidos que tenham obtido sucesso na autenticação com a chave pública de administração. Adicionalmente, as equipas devem monitorizar a atividade de emparelhamento não autorizada e restringir o acesso às interfaces de gestão e controlo da rede apenas a endereços IP de inteira confiança.
Nenhum comentário
Seja o primeiro!