Uma falha de segurança de máxima gravidade voltou a colocar no foco os dispositivos de borda de rede: a Cisco confirmou que uma vulnerabilidade crítica em seus controladores e gestores de SD-WAN Catalyst (antes conhecidos como vSmart e vManage) está sendo explorada ativamente desde 2023 por um ator sofisticado, e tem provocado respostas coordenadas de vários equipamentos de segurança nacional e comercial.
A vulnerabilidade, catalogada como CVE‐2026‐20127 e com pontuação CVSS 10.0, permite a um atacante remoto sem autenticar saltar os mecanismos de autenticação e assumir privilégios administrativos dentro do plano de gestão da SD-WAN. Na prática, um dispositivo malicioso pode “unir” como um par de confiança do plano de controle e executar ações que normalmente exigiriam credenciais de alto nível, como manipular a configuração da rede através do NETCONF ou SSH.
A Cisco explicou que a raiz do problema está em falha no mecanismo de autenticação entre pares. A empresa atribui a descoberta à Austrálian Signals Diretorate / Australian Cyber Security Centre (ASD‐ACSC) e etiqueta a campanha contra seus sistemas SD-WAN como UAT-8616, descrevendo o grupo responsável como altamente sofisticado. A equipa de Talos, que investigou a operação, sublinha que a exploração e a actividade pós-compromissação continuam a um padrão concebido para estabelecer persistência e mover-se lateralmente dentro das instalações afectadas — um comportamento típico quando os atacantes procuram pontos de apoio em infra-estruturas críticas. Mais informações e análises técnicas podem ser consultadas no blog de Talos: https://blog.talosintelligence.com/uat-8616-sd-wan/.
Os riscos decorrentes desta falha não se limitam à elevação de privilégios imediatos. Em incidentes documentados, os atacantes aproveitaram a lacuna inicial para forçar uma degradação de versão do software, explorar uma vulnerabilidade prévia (CVE-2022-20775) que permite escalar o root, e posteriormente restaurar a versão original para ocultar rastros. O CVE‐2022‐20775 está coletado na base de dados do NIST e explica a técnica de escalada usada como parte da cadeia de ataque: https://nvd.nist.gov/vuln/detail/cve-2022-20775.
Após a detecção de tentativas de intrusão, os atacantes procederam a criar contas locais que imitam outras já existentes, adicionar chaves SSH autorizadas para o acesso root, modificar programas de arranque relacionados com SD-WAN e utilizar NETCONF e SSH para comunicar entre os dispositivos do plano de gestão. Também apagaram registros e comandos do histórico para complicar as pesquisas. Estes passos permitem manter um acesso persistente e operar com algum sigilo dentro de ambientes corporativos e de infraestrutura crítica.
O alcance é amplo: Foram indicadas como sendo afetados as implantaçãos On-Premises, implementações na nuvem da Cisco SD-WAN (incluindo ambientes geridos pela Cisco e ambientes FedRAMP). A Cisco publicou um guia com as versões corrigidas e as recomendações de migração; é imprescindível rever e aplicar as actualizações indicadas no seu aviso oficial: Aviso de Segurança da Cisco.
A gravidade do incidente tem motivado ações regulatórias: a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. Os EUA (CISA) adicionou tanto CVE‐2026‐20127 como CVE‐2022‐20775 ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) e emitiu orientações de emergência para as agências federais. Estas ordens exigem inventariar os sistemas SD-WAN, aplicar adesivos e apresentar relatórios detalhados em prazos muito ajustados; a nota de CISA pode ser consultada em: CISA alerta sobre a inclusão no KEV, e as directivas e guias relacionados estão publicadas aqui: ED‐26‐03: Mitigar vulnerabilidades na Cisco SD-WAN e supletórios de hunt e hardening.
Para os equipamentos de segurança e administradores de rede, a prioridade deve ser imediata: aplicar as versões alteradas que a Cisco publicou ou migrar para releases corrigidas de acordo com o seu guia. Além disso, convém auditar sinais de compromisso nos sistemas afectados; a Cisco recomenda a revisão do ficheiro de autenticação (/var/log/auth.log) em busca de itens como "Accepted publickey for vmanage-admin" provenientes de endereços IP não reconhecidos e comparar esses IPs com os System IPs configurados na interface Web do gestor. O CISA também sugere verificar registos que indiquem reinícios inesperados ou degradações de versão, revisando arquivos de depuração e traços específicos do sistema.
Não se trata apenas de adesivos: Uma resposta completa inclui verificar a existência de contas locais suspeitas, rever as chaves SSH adicionadas recentemente, inspeccionar programas de arranque e restauração, e rastrear movimentos NETCONF/SSH no plano de gestão. Se se detectar sinais de compromisso, o atacante pode ter obtido persistência e, portanto, planejar contenção, erradicação e recuperação com mudança de chaves e credenciais, reinstalação segura do software onde apropriado e pesquisa forense que preserve evidências antes de limpar sistemas.
Este incidente enquadra-se numa tendência preocupante: os dispositivos de borda e os sistemas de gestão de rede são objectivos prioritários para atores que buscam pontos de entrada com alto valor estratégico. Como investigadores assinalaram, comprometer o plano de controlo de uma SD-WAN permite a um atacante influenciar o comportamento da rede em múltiplos locais e exfiltrar ou manipular tráfego de forma muito prejudicial.
Se a sua organização usar a Cisco Catalyst SD-WAN, o essencial agora é agir rapidamente: rever o aviso da Cisco e as recomendações técnicas, auditar os registos indicados, verificar a integridade das contas e chaves locais, e, se necessário, coordenar com equipas de resposta a incidentes e com as entidades reguladoras correspondentes. Para informações oficiais e passos técnicos, consulte o aviso da Cisco e a análise de Talos; e para medidas obrigatórias ou requisitos de cumprimento, atenda as diretrizes e a inclusão no catálogo KEV da CISA: Cisco, Talos, NVD (CVE‐2022‐20775) e CISA KEV.
A lição é clara: manter atualizados os elementos críticos da infraestrutura de rede e monitorar ativamente os planos de gestão já não é uma boa prática opcional, mas uma necessidade operacional para prevenir invasões que podem escalar até comprometer serviços distribuídos e ativos críticos.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...