Cisco ha puesto en alerta a los administradores de redes: una vulnerabilidad crítica de omisión de autenticación en Cisco Catalyst SD‑WAN, registrada como CVE‑2026‑20127, ha sido aprovechada en ataques de día cero que permitieron a atacantes remotos comprometer controladores y añadir pares falsos a infraestructuras SD‑WAN. El fallo recibe una puntuación máxima de severidad (CVSS 10.0) y afecta tanto a los controladores (antes vSmart) como a las consolas de gestión (antes vManage) en despliegues on‑premise y en la nube administrada por Cisco. Puede consultarse el aviso oficial de Cisco aquí: Cisco CVE‑2026‑20127 advisory.
Según la nota técnica de Cisco, el origen del problema está en el mecanismo de autenticación entre pares (peering), que no funciona correctamente y permite que peticiones especialmente manipuladas salten las validaciones habituales. En la práctica, un exploit exitoso puede dar acceso a una cuenta interna de alto privilegio (no root) en el controlador, desde la cual el atacante puede utilizar NETCONF para cambiar la configuración de la malla SD‑WAN y establecer elementos que parezcan legítimos dentro de la red.
La agencia de inteligencia de amenazas de Cisco, Talos, ha rastreado la actividad maliciosa con la etiqueta UAT‑8616 y asegura que con alta confianza se trata de un adversario muy sofisticado. Talos también señala que hay evidencias de explotación activa desde al menos 2023 y que el actor habría conseguido escalada a root volviendo temporalmente el software a una versión vulnerable y explotando CVE‑2022‑20775 para obtener privilegios de superusuario, para luego restaurar la versión original y así ocultar huellas. El análisis de Talos está disponible en su blog: Cisco Talos — UAT‑8616.
La gravedad del incidente ha motivado una respuesta coordinada entre proveedores y autoridades. El 25 de febrero de 2026 la agencia estadounidense CISA emitió la Directiva de Emergencia ED‑26‑03, que obliga a las agencias federales a inventariar sistemas Cisco SD‑WAN, recoger artefactos forenses, asegurar el almacenamiento externo de logs, aplicar actualizaciones y buscar indicios de compromiso relacionados con CVE‑2026‑20127 y CVE‑2022‑20775. La Directiva fijó plazos estrictos de parcheo debido a la amenaza inminente que supone la explotación para redes críticas.
El gobierno del Reino Unido, a través del NCSC, y CISA han publicado guías conjuntas de búsqueda y endurecimiento para ayudar a las organizaciones a detectar actividad maliciosa y a mitigar riesgos. Ambas instituciones insisten en que las interfaces de gestión de SD‑WAN no deben exponerse a Internet y recomiendan, entre otras medidas, colocar los componentes de control detrás de firewalls, segmentar y aislar los planos de gestión y desplazar los registros a sistemas externos para evitar su manipulación.
Respecto a la detección, Cisco y Talos piden revisar con urgencia los registros de cualquier controlador Catalyst SD‑WAN expuesto fuera del perímetro. Un indicador concreto es la aparición en /var/log/auth.log de entradas donde se acepta una clave pública para el usuario vmanage‑admin desde direcciones IP que no forman parte de la infraestructura conocida. Si se observan IPs desconocidas que han conseguido autenticación válida, la recomendación es considerar el dispositivo comprometido y abrir un caso con el soporte técnico de Cisco (TAC).
Otros signos de compromiso compartidos por Talos, CISA y Cisco incluyen creación o borrado inesperado de cuentas de usuario, inicios de sesión root fuera de lo normal, claves SSH no autorizadas asociadas a vmanage‑admin o root y cambios que habilitan PermitRootLogin. También conviene vigilar archivos de registro inusualmente pequeños o faltantes —posible indicio de borrado de logs— y eventos de degradación de software seguidos de reinicios, ya que podrían señalar que el atacante explotó la vulnerabilidad de 2022 para escalar privilegios.
CISA facilita una lista concreta de rutas de registro que deben analizarse para comprobar si CVE‑2022‑20775 fue aprovechada, entre ellas /var/volatile/log/vdebug, /var/log/tmplog/vdebug y /var/volatile/log/sw_script_synccdb.log. Además, su guía de hunt & hardening instruye a las organizaciones a recoger volcados de memoria del administrador, directorios personales de usuarios y otros artefactos forenses, y a asegurar que los logs se copien fuera del dispositivo para evitar alteraciones.
En cuanto a mitigación, Cisco ha publicado parches que corrigen la vulnerabilidad y subraya que no existe una solución temporal que la elimine por completo: la única forma de remediar definitivamente CVE‑2026‑20127 es actualizar a una versión corregida del software. Complementariamente, las autoridades y Cisco recomiendan restringir el acceso a las interfaces de gestión, aplicar las prácticas de endurecimiento oficiales del proveedor y enviar registros a sistemas externos. Si se confirma que la cuenta root fue comprometida, las agencias deberían optar por instalaciones limpias en vez de intentar una "limpieza" sobre un sistema ya violado.
Este incidente vuelve a poner sobre la mesa una lección repetida pero esencial para operaciones de red en entornos distribuidos: las plataformas de orquestación y control son extremadamente sensibles porque centralizan la confianza. Añadir un par falso a la malla SD‑WAN permite al atacante cifrar tráfico aparentemente legítimo y anunciar rutas controladas por él, lo que facilita movimientos laterales y persistencia dentro de la red corporativa.
Por último, Cisco reconoció públicamente la colaboración de la Australian Signals Directorate / Australian Cyber Security Centre en el descubrimiento del fallo, un recordatorio de que la detección temprana suele ser el resultado de la cooperación entre empresas y agencias. Si gestionas o dependes de una implementación de Cisco Catalyst SD‑WAN, revisa las guías y avisos enlazados, prioriza la instalación de los parches y, en caso de detección de actividad sospechosa, inicia las acciones forenses recomendadas y notifica al proveedor y a las autoridades según corresponda.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...