A Cisco confirmou que está sendo explorada em ataques ativos uma vulnerabilidade crítica em Catalyst SD-WAN Controller, registrada como CVE‐2026‐20182 (CVSS 10.0), que permite saltar a autenticação emparelhado (peering) e obter acesso administrativo a dispositivos afetados. De acordo com o aviso oficial da Cisco, o problema reside em que o mecanismo de autenticação entre os peers "não funciona corretamente", de modo que um atacante pode enviar pedidos manipulados para se registrar como um par legítimo e obter uma conta interna com privilégios elevados que habilita o acesso NETCONF e a manipulação da configuração do tecido SD-WAN. Mais detalhes técnicos e o aviso da Cisco estão disponíveis na própria página da empresa: Cisco CVE‐ 2026‐20182 advisory.
A descoberta foi atribuída pela Cisco a trabalhos de análise que também vincularam a pesquisa com uma vulnerabilidade prévia (CVE‐2026‐20127) encontrada pelo Rapid7; Rapid7 publicou uma análise que contextualiza como o bypass foi detectado e por que a falha permite criar “peers” falsos dentro da malha SD-WAN: Rapid7: Relatório e contexto. CISA incluiu a vulnerabilidade em seu Known Exploited Vulnerabilities Catalog e deu instruções de adesivo imediato para agências federais, o que sublinha a gravidade e o impacto operacional potencial: CISA KEV catalog.
O vetor de ataque é especialmente perigoso porque, ao adicionar um peer malicioso, o ator pode estabelecer túneis criptografados que parecem legítimos dentro do SD-WAN e anunciar rotas sob seu controle. Com o NETCONF disponível, um intruso pode mudar políticas de roteamento, redirigir tráfego, abrir acessos laterais para centros de dados ou nuvens e persistir na infraestrutura sem necessidade de acesso root direto. Embora a conta obtida por exploração seja “no-root”, seus privilégios internos permitem alterações com impacto na disponibilidade, confidencialidade e integridade da rede corporativa.
A Cisco publicou indicadores de compromisso (IOCs) e recomendações táticas: rever os registos de autenticação (por exemplo, /var/log/auth.log) em controladores expostos à Internet, procurando o início da sessão pública para a conta administrativa do gestor, e comparar endereços IP com as "System IP" configuradas na UI do SD-WAN para detectar peers não autorizados. Também recomenda revisar logs de peering do controlador buscando eventos de registro de peers que não correspondam à topologia conhecida. Como a Cisco afirma que não existem mitigações completas alternativas, a única remediação definitiva é aplicar as versões corrigidas publicadas pela Cisco.
Se você administra Catalyst SD-WAN, a primeira ação deve ser assumir a possibilidade de compromisso se a equipe estava acessível da Internet e qualquer IP desconhecido aparece nos logs de autenticação ou peering. Nesse caso, a Cisco aconselha a abertura de um caso com o titular da AIM; a partir da prática de resposta a incidentes, além de contactar o suporte, convém isolar o controlador afetado da rede, tomar o volcado forense de logs e configurações, rotar chaves e certificados usados para emparelhado e gestão, e considerar a reconstrução completa do dispositivo com software adesivo se houver evidências de acesso não autorizado.
Em paralelo com o adesivo, reduza a superfície de ataque: restrinja o acesso a interfaces de gestão e plano de controle a redes internas de confiança ou endereços IP autorizados, implemente listas de controle de acesso a nível de borda, limite o alcance do acesso NETCONF e aplique políticas de leiast‐privilege na gestão do SD-WAN. Implemente detecção contínua para alterações não esperadas na configuração e verifique rotas e anúncios BGP/telemétricos para detectar injeções de rotas maliciosas. Essas medidas ajudam a atenuar o risco enquanto o adesivo se desenrola, mas não o substituem.
Em termos de governança e continuidade, este episódio obriga a revisar práticas de confiança entre dispositivos em arquiteturas SD-WAN: use segundas verificações sobre a validade de certificados e chaves, mantenha inventário e lista branca de System IPs e peers autorizados, e execute auditorias regulares da telemetria do controle-plane. Para organizações com cumprimento regulatório ou que suportam serviços críticos, apoiem as ações com registros forenses e notifiquem stakeholders e reguladores conforme apropriado.
A velocidade de exploração relatada e a entrada no catálogo de CISA implicam uma janela de risco real e acotada no tempo: Modificar imediatamente, verificar logs e assumir compromissos quando houver registros de autenticação desde IPs não reconhecidos. Se precisar de orientação técnica específica ou de apoio com um incidente em curso, documenta datas e amostras de logs antes de realizar mudanças, e considera escalar serviços profissionais de resposta ou o próprio TAC da Cisco para preservar evidências e acelerar a contenção.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...