As redes modernas dependem cada vez mais de plataformas centralizadas para gerir centenas ou milhares de dispositivos; essa conveniência, no entanto, converte os painéis de administração em objetivos de alto valor. Cisco Catalyst SD-WAN Manager – a solução de gestão que reúne em um mesmo tabuleiro o controle de centenas ou milhares de elementos SD-WAN – volta a estar no centro da notícia porque a própria Cisco confirmou que duas falhas de segurança adicionais estão sendo exploradas em ambientes reais, e pediu aos administradores que atualizem quanto antes seus equipamentos.
Os problemas denunciados não são teóricos: há exploração ativa na natureza, de acordo com a atualização da empresa publicada recentemente. A Cisco ampliou o aviso que lançou em fevereiro e apontou que as vulnerabilidades identificadas como CVE‐2026‐20122 e CVE‐2026‐20128 foram utilizadas por atacantes. A nota oficial pode ser consultada no centro de segurança da Cisco nesta ligação: Cisco Security Advisory.
Para entender a gravidade, convém fixar-se nos vetores de acesso: a vulnerabilidade catalogada como CVE-2026‐20122 permite a sobreposição arbitrária de arquivos e, embora sua exploração remota exija credenciais de apenas leitura com acesso à API, isso não a faz inocua; manipulando arquivos críticos um atacante pode alterar configurações, plantar portas traseiras ou preparar passos posteriores para escalar privilégios. A descrição técnica desta falha está disponível no NVD: CVE‐2026‐20122 (NVD).
A outra vulnerabilidade ativa, CVE‐2026‐20128, é de menor gravidade segundo a classificação, mas igualmente preocupante porque permite a filtragem de informações sensíveis se um atacante local tiver credenciais válidas em vManage. Os detalhes podem ser revistos no registo de vulnerabilidades do NIST: CVE‐2026‐20128 (NVD). A Cisco destaca que ambas as falhas afetam o software Catalyst SD-WAN Manager independentemente de como os dispositivos estão configurados, o que amplia a superfície de risco.
Este aviso surge em contexto: recentemente, a exploração sustentada desde pelo menos 2023 de uma vulnerabilidade crítica na mesma suíte de gestão, identificada como CVE‐2026‐20127, que permitiu a atacantes sofisticados adicionar pares “rogue” (falsos peers) a redes SD-WAN comprometidas e assim inserir aparelhos maliciosos que parecem legítimos. A informação sobre essa violação figura também nas bases de dados públicas: CVE‐2026‐20127 (NVD).
A sensibilidade do problema motivou respostas das autoridades. Nos Estados Unidos, a Agência de Segurança de Infra-estruturas e Cibersegurança (CISA) lançou a Directiva de Emergência ED 26-03, que obriga as agências federais a inventariar dispositivos Cisco SD-WAN, a preservar artefatos forenses, externalizar registos, a implantação de adesivos e a rever possíveis incidências relacionadas com essas vulnerabilidades. O texto completo da directiva está disponível aqui: CISA ED 26-03.
Ao mesmo tempo, a Cisco publicou atualizações para outros produtos sensíveis, como o seu Secure Firewall Management Center, onde foram corrigidas falhas que poderiam permitir desde contornar a autenticação até executar código remoto com privilégios de root (CVE‐2026‐20079 e CVE‐2026‐20131); as referências no catálogo de vulnerabilidades permitem seguir a faixa técnica desses problemas: CVE‐2026-20079 (NVD) e CVE‐2026‐20131 (NVD).
O que deve fazer um administrador agora? A primeira medida é aplicar as versões corrigidas do software que a Cisco colocou à disposição: a empresa insiste que a atualização é a via mais confiável para remover esses vetores de ataque. Além disso, é aconselhável restringir o acesso às APIs de gestão, revisar e rotar credenciais com prioridade, e segmentar a rede para separar o plano de gestão do resto de trafico de produção, de forma que uma ruptura no ambiente de usuários não permita um salto direto ao controlador central.
Não basta instalar adesivos: convém investigar a possível atividade prévia. A Cisco e as agências recomendaram recolher e conservar registos, procurar sinais de criação de peers não autorizados, alterações inesperadas em modelos ou políticas, novos certificados emitidos sem controlo e tráfego de saída incomum para destinos desconhecidos. Esse trabalho forense é fundamental para distinguir uma atualização preventiva de uma resposta a uma intrusão já consumada. A Cisco facilita guias e detalhes técnicos em sua nota de segurança: Cisco Security Advisory, e a directiva da CISA explica passos operacionais mínimos para ambientes federais: CISA ED 26-03.
A lição que este episódio deixa é clara: as peças que centralizam controle em infraestruturas críticas concentram risco. Uma falha no gestor não só compromete um dispositivo isolado, mas potencialmente abre a porta a toda a rede que depende dele. Por isso, combinar atualizações pontuais com boa higiene de segurança — controle de acessos, registros externos, segmentação e monitoração contínua — é a única maneira de reduzir o impacto de falhas desse tipo.
Se você gerencia equipamentos Catalyst SD-WAN Manager, faça uma janela de manutenção para aplicar os adesivos e lança uma verificação exaustiva do seu ambiente. Use a documentação oficial da Cisco e as recomendações de autoridades como a CISA para que a intervenção seja completa e não deixe cabos soltos. Ligações úteis para começar: a própria nota da Cisco ( advisory), as entradas do NVD sobre as CVE mencionadas ( CVE‐2026‐20122, CVE‐2026‐20128, CVE‐2026‐20127) e a Directiva CISA ( ED 26-03).
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...