- O dia zero do Cisco Catalyst SD-WAN (CVE-2026-20127) foi explorado desde 2023
- A falha permitiu que invasores adicionassem pares não autorizados e manipulassem configurações de rede
- A CISA adicionou o bug ao catálogo KEV, solicitando correções urgentes; Relacionado ao grupo de ameaças UAT-8616
Atores de ameaças “altamente sofisticados” têm explorado uma vulnerabilidade de dia zero do Cisco Catalyst SD-WAN há mais de dois anos, informou a empresa.
O braço de segurança cibernética da Cisco, Talos, divulgou um novo relatório dizendo ter identificado uma vulnerabilidade crítica de autenticação que estava sendo ativamente explorada por invasores que a usaram para comprometer controladores e adicionar contrapartes maliciosas às redes direcionadas.
A vulnerabilidade é rastreada como CVE-2026-20127 e tem uma pontuação máxima de gravidade de 10/10 (Crítica).
CISA adiciona ao KEV
O National Vulnerability Database (NVD) afirma que a falha existe porque “o mecanismo de autenticação peering em um sistema afetado não funciona corretamente”, permitindo que atores mal-intencionados enviem solicitações elaboradas para explorá-lo.
“Uma exploração bem-sucedida poderia permitir que um invasor fizesse login como uma conta de usuário interna, altamente privilegiada e não root no controlador Cisco Catalyst SD-WAN afetado. Usando essa conta, o invasor poderia acessar NETCONF, o que permitiria ao invasor manipular a configuração de rede da estrutura SD-WAN”, explicou ele.
O relatório do Talos afirma que um grupo conhecido como UAT-8616 tem abusado dele desde pelo menos 2023. Os ataques parecem ter começado com o downgrade da solução SD-WAN para uma versão antiga e vulnerável e, em seguida, obtendo acesso root. Uma vez lá dentro, os criminosos restaurariam a versão original do firmware para cobrir seus rastros.
Na quarta-feira, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou a falha ao seu catálogo KEV, confirmando relatos de abusos e dando às agências do Poder Executivo Civil Federal (FCEB) apenas dois dias para corrigir totalmente o produto ou parar de usá-lo. Normalmente, a CISA dá às agências da FCEB três semanas para responder, mas, neste caso, o erro representava uma ameaça grave.
O UAT-8616 parece ser um cluster de ameaças recém-nomeado, pois não há nenhum registro público separado de que esse ator esteja vinculado a vários ataques anteriores com o mesmo nome.
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
