Vulnerabilidade Zero-Day do Cisco SD-WAN Explorada por Meses Antes da Divulgação
Uma vulnerabilidade de alta severidade no Cisco Catalyst SD-WAN foi ativamente explorada como zero-day por pelo menos dois meses antes da divulgação pública, de acordo com pesquisa da Mandiant. A falha permite que atacantes locais autenticados executem comandos arbitrários com privilégios de root.
TL;DR
- CVE-2026-20245 (CVSS 7.8) no Cisco Catalyst SD-WAN foi explorada na natureza antes da divulgação oficial
- Atores de ameaça obtiveram execução de comando em nível root através de acesso autenticado local
- Mandiant descobriu a campanha zero-day, indicando uma janela significativa de exploração não detectada
- Organizações executando implantações afetadas do Cisco SD-WAN devem priorizar a correção imediatamente
Pesquisadores de segurança da Mandiant descobriram evidências de que uma vulnerabilidade de alta severidade no Cisco Catalyst SD-WAN foi ativamente explorada por atores de ameaça desconhecidos por pelo menos dois meses antes da divulgação pública da falha pela Cisco. Esta janela estendida de exploração pré-divulgação representa um risco significativo para organizações que dependem da infraestrutura Cisco SD-WAN para conectividade e segurança de rede.
A vulnerabilidade, designada CVE-2026-20245 com uma pontuação CVSS de 7.8, requer um atacante local autenticado para executar comandos arbitrários com privilégios elevados em sistemas afetados. A descoberta destaca o desafio contínuo de vulnerabilidades zero-day permanecerem não detectadas em ambientes de produção e ressalta a importância do compartilhamento rápido de inteligência de ameaças e ciclos de correção.
Este incidente demonstra que até mesmo produtos empresariais de fornecedores bem conhecidos podem ser alvo de atores de ameaça sofisticados que mantêm segurança operacional durante suas campanhas de exploração, atrasando os esforços de detecção e remediação em bases de clientes afetadas.
Detalhes da Vulnerabilidade e Vetor de Ataque
- CVE-2026-20245 afeta plataformas Cisco Catalyst SD-WAN com uma classificação de severidade CVSS de 7.8
- A exploração requer acesso local e credenciais de autenticação válidas
- A exploração bem-sucedida concede aos atacantes execução de comando arbitrário com privilégios de nível root
- A vulnerabilidade foi ativamente explorada na natureza por um mínimo de dois meses antes da divulgação pública
Implicações para Equipes de Segurança Empresarial
- As organizações devem assumir possível comprometimento se os sistemas SD-WAN não foram corrigidos durante a janela de exploração
- A correção imediata das implantações afetadas do Cisco Catalyst SD-WAN é crítica para prevenir exploração contínua
- Análise forense e revisão de logs podem ser necessárias para determinar se os sistemas foram alvo ou comprometidos
- A segmentação de rede e controles de acesso devem ser revisados para limitar o alcance do atacante local na infraestrutura SD-WAN
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.