A Cisco colocou em alerta os administradores de redes: uma vulnerabilidade crítica de omissão de autenticação na Cisco Catalyst SD-WAN, registada como CVE‐2026‐20127, foi aproveitada em ataques de dia zero que permitiram a atacantes remotos comprometer controladores e adicionar pares falsos a infra-estruturas SD-WAN. A falha recebe uma pontuação máxima de gravidade (CVSS 10.0) e afeta tanto os drivers (antes vSmart) como os consoles de gestão (antes vManage) em implantaçãos on-premise e na nuvem administrada pela Cisco. Você pode consultar o aviso oficial da Cisco aqui: Cisco CVE‐ 2026- 20127 advisory.
De acordo com a nota técnica da Cisco, a origem do problema está no mecanismo de autenticação entre pares (peering), que não funciona corretamente e permite que solicitações especialmente manipuladas saltem as validações habituais. Na prática, um exploit bem-sucedido pode dar acesso a uma conta interna de alto privilégio (não root) no controlador, desde a qual o atacante pode usar o NETCONF para mudar a configuração da malha SD-WAN e estabelecer elementos que pareçam legítimos dentro da rede.
A agência de inteligência de ameaças da Cisco, Talos, rastreiou a atividade maliciosa com a etiqueta UAT-8616 e assegura que com alta confiança se trata de um adversário muito sofisticado. Talos também assinala que há evidências de exploração ativa desde pelo menos 2023 e que o ator teria conseguido escalada a root tornando temporariamente o software a uma versão vulnerável e explodindo CVE‐2022‐20775 para obter privilégios de super-usuário, para depois restaurar a versão original e assim esconder marcas. A análise de Talos está disponível em seu blog: Cisco Talos — UAT-8616.
A gravidade do incidente tem motivado uma resposta coordenada entre fornecedores e autoridades. Em 25 de fevereiro de 2026 a agência estadunidense CISA emitiu a Directiva de emergência ED‐26‐03, que obriga as agências federais a inventariar sistemas Cisco SD-WAN, recolher artefatos forenses, garantir o armazenamento externo de logs, aplicar atualizações e buscar indícios de compromisso relacionados com CVE‐2026‐20127 e CVE‐2022‐20775. A directiva fixou prazos rigorosos de adesivo devido à ameaça iminente da exploração para redes críticas.
O governo do Reino Unido, através do NCSC, e a CISA publicaram guias comuns de busca e endurecimento para ajudar as organizações a detectar atividades maliciosas e a mitigar riscos. Ambas as instituições insistem que as interfaces de gestão da SD-WAN não devem ser expostas à Internet e recomendam, entre outras medidas, colocar os componentes de controle por trás de firewalls, segmentar e isolar os planos de gestão e deslocar os registros para sistemas externos para evitar sua manipulação.
No que respeita à detecção, a Cisco e os Talos pedem uma revisão urgente dos registos de qualquer controlador Catalyst SD-WAN exposto fora do perímetro. Um indicador específico é o aparecimento em /var/log/auth.log de entradas onde é aceite uma chave pública para o utilizador vmanage-admin a partir de endereços IP que não fazem parte da infra-estrutura conhecida. Se forem observados IPs desconhecidos que conseguiram autenticação válida, a recomendação é considerar o dispositivo comprometido e abrir um caso com o suporte técnico da Cisco (TAC).
Outros sinais de compromisso partilhados por Talos, CISA e Cisco incluem criação ou remoção inesperada de contas de utilizador, inícios de sessão root fora do normal, chaves SSH não autorizadas associadas a vmanage-admin ou root e alterações que habilitam PermitRootLogin. Também é conveniente monitorar arquivos de registro invulgarmente pequenos ou faltantes - possível indício de remoção de logs - e eventos de degradação de software seguidos de reinícios, uma vez que poderiam assinalar que o atacante explodiu a vulnerabilidade de 2022 para escalar privilégios.
CISA facilita uma lista concreta de rotas de registo a analisar para verificar se o CVE‐2022‐20775 foi aproveitada, entre elas /var/volatile/log/vdebug, /var/log/tmplog/vdebug e /var/volatile/log/sw_script_synccdb.log. Além disso, o seu guia de hunt & hardening instrue as organizações a recolherem imagens de memória do administrador, pastas pessoais de usuários e outros artefatos forenses, e a garantir que os logs são copien fora do dispositivo para evitar alterações.
Quanto à mitigação, a Cisco publicou adesivos que corrigem a vulnerabilidade e sublinha que não existe uma solução temporária que a elimine por completo: a única forma de remediar definitivamente CVE‐2026‐20127 é atualizar a uma versão corrigida do software. Complementariamente, as autoridades e a Cisco recomendam restringir o acesso às interfaces de gestão, aplicar as práticas de endurecimento oficiais do fornecedor e enviar registos para sistemas externos. Se se confirmar que a conta root foi comprometida, as agências devem optar por instalações limpas em vez de tentar uma "limpeza" sobre um sistema já violado.
Este incidente retorna à mesa uma lição repetida, mas essencial para operações de rede em ambientes distribuídos: as plataformas de orquestração e controle são extremamente sensíveis porque centralizam a confiança. Adicionar um par falso à malha SD-WAN permite ao atacante cifrar tráfego aparentemente legítimo e anunciar rotas controladas por ele, o que facilita movimentos laterais e persistência dentro da rede corporativa.
Finalmente, a Cisco reconheceu publicamente a colaboração da Austrálian Signals Diretorate / Australian Cyber Security Centre na descoberta da falha, um lembrete de que a detecção precoce é o resultado da cooperação entre empresas e agências. Se você gerencia ou depende de uma implementação da Cisco Catalyst SD-WAN, verifique os guias e avisos ligados, prioriza a instalação dos adesivos e, em caso de detecção de atividade suspeita, inicia as ações forenses recomendadas e notifica o fornecedor e as autoridades conforme apropriado.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...