Un fallo de seguridad de máxima gravedad ha vuelto a poner en el foco a los dispositivos de borde de red: Cisco ha confirmado que una vulnerabilidad crítica en sus controladores y gestores de SD‑WAN Catalyst (antes conocidos como vSmart y vManage) está siendo explotada activamente desde 2023 por un actor sofisticado, y ha provocado respuestas coordinadas de varios equipos de seguridad nacional y comercial.
La vulnerabilidad, catalogada como CVE‑2026‑20127 y con puntuación CVSS 10.0, permite a un atacante remoto sin autenticar saltarse los mecanismos de autenticación y asumir privilegios administrativos dentro del plano de gestión de SD‑WAN. En la práctica, un dispositivo malicioso puede “unirse” como un par de confianza del plano de control y ejecutar acciones que normalmente exigirían credenciales de alto nivel, como manipular la configuración de la red a través de NETCONF o SSH.
Cisco ha explicado que la raíz del problema está en un fallo en el mecanismo de autenticación entre pares. La empresa atribuye el descubrimiento a la Australian Signals Directorate / Australian Cyber Security Centre (ASD‑ACSC) y etiqueta la campaña contra sus sistemas SD‑WAN como UAT‑8616, describiendo al grupo responsable como altamente sofisticado. El equipo de Talos, que ha investigado la operación, subraya que la explotación y la actividad post‑compromiso siguen un patrón diseñado para establecer persistencia y moverse lateralmente dentro de las instalaciones afectadas —un comportamiento típico cuando los atacantes buscan puntos de apoyo en infraestructuras críticas. Más información y análisis técnico puede consultarse en el blog de Talos: https://blog.talosintelligence.com/uat-8616-sd-wan/.
Los riesgos derivados de esta falla no se limitan a la elevación de privilegios inmediata. En incidentes documentados, los atacantes han aprovechado la brecha inicial para forzar una degradación de versión del software, explotar una vulnerabilidad previa (CVE‑2022‑20775) que permite escalar a root, y posteriormente restaurar la versión original para ocultar rastros. El CVE‑2022‑20775 está recogido en la base de datos del NIST y explica la técnica de escalada usada como parte de la cadena de ataque: https://nvd.nist.gov/vuln/detail/cve-2022-20775.
Tras la detección de intentos de intrusión, los atacantes han procedido a crear cuentas locales que imitan a otras ya existentes, añadir claves SSH autorizadas para acceso root, modificar scripts de arranque relacionados con SD‑WAN y utilizar NETCONF y SSH para comunicarse entre los dispositivos del plano de gestión. También han borrado registros y comandos del historial para complicar las investigaciones. Estos pasos permiten mantener un acceso persistente y operar con cierto sigilo dentro de entornos corporativos y de infraestructura crítica.
El alcance es amplio: se han indicado como afectados despliegues On‑Premises, implementaciones en la nube de Cisco SD‑WAN (incluyendo entornos gestionados por Cisco y entornos FedRAMP). Cisco ha publicado una guía con las versiones corregidas y las recomendaciones de migración; es imprescindible revisar y aplicar las actualizaciones indicadas en su aviso oficial: aviso de seguridad de Cisco.
La gravedad del incidente ha motivado acciones regulatorias: la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha añadido tanto CVE‑2026‑20127 como CVE‑2022‑20775 a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV) y ha emitido directrices de emergencia para las agencias federales. Estas órdenes exigen inventariar los sistemas SD‑WAN, aplicar parches y presentar informes detallados en plazos muy ajustados; la nota de CISA se puede consultar en: CISA alerta sobre la inclusión en KEV, y las directivas y guías relacionadas están publicadas aquí: ED‑26‑03: Mitigar vulnerabilidades en Cisco SD‑WAN y supletorios de hunt y hardening.
Para los equipos de seguridad y administradores de red, la prioridad debe ser inmediata: aplicar las versiones parcheadas que Cisco ha publicado o migrar a releases corregidos conforme a su guía. Además, conviene auditar señales de compromiso en los sistemas afectados; Cisco recomienda revisar el fichero de autenticación (/var/log/auth.log) en busca de entradas como "Accepted publickey for vmanage-admin" procedentes de direcciones IP no reconocidas y comparar esas IPs con los System IPs configurados en la interfaz web del gestor. CISA igualmente sugiere verificar registros que indiquen reinicios inesperados o degradaciones de versión, revisando ficheros de depuración y trazas específicas del sistema.
No se trata solo de parchear: una respuesta completa incluye comprobar la existencia de cuentas locales sospechosas, revisar claves SSH añadidas recientemente, inspeccionar scripts de arranque y restauración, y rastrear movimientos NETCONF/SSH dentro del plano de gestión. Si se detecta indicio de compromiso, hay que asumir que el atacante pudo haber obtenido persistencia y, por tanto, planificar contención, erradicación y recuperación con cambio de claves y credenciales, reinstalación segura del software donde proceda y una investigación forense que preserve evidencias antes de limpiar sistemas.
Este incidente encaja en una tendencia preocupante: los dispositivos de borde y los sistemas de gestión de red son objetivos prioritarios para actores que buscan puntos de entrada con alto valor estratégico. Como han señalado investigadores, comprometer el plano de control de una SD‑WAN permite a un atacante influir en el comportamiento de la red en múltiples emplazamientos y exfiltrar o manipular tráfico de forma muy dañina.
Si su organización utiliza Cisco Catalyst SD‑WAN, lo esencial ahora es actuar con rapidez: revisar el aviso de Cisco y las recomendaciones técnicas, auditar los registros indicados, comprobar la integridad de las cuentas y claves locales, y, si es necesario, coordinar con equipos de respuesta a incidentes y con los organismos reguladores correspondientes. Para información oficial y pasos técnicos, consulte el aviso de Cisco y el análisis de Talos; y para medidas obligatorias o requisitos de cumplimiento, atienda las directrices y la inclusión en el catálogo KEV de la CISA: Cisco, Talos, NVD (CVE‑2022‑20775) y CISA KEV.
La lección es clara: mantener actualizados los elementos críticos de la infraestructura de red y monitorear activamente los planos de gestión ya no es una buena práctica opcional, sino una necesidad operativa para prevenir intrusiones que pueden escalar hasta comprometer servicios distribuidos y activos críticos.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...