Resumo Executivo
Identificamos uma campanha global de ciberataques perpetrada por agentes maliciosos, focada na exploração de vulnerabilidades em dispositivos de rede SD-WAN (Software-Defined Wide Area Network). Os atacantes estão explorando uma falha de segurança crítica nos controladores Cisco Catalyst SD-WAN para obter acesso não autorizado e estabelecer persistência de longo prazo nas redes corporativas.
Detalhes da Ameaça no Cisco Catalyst
A vulnerabilidade central, registrada como CVE-2026-20127, consiste em um bypass de autenticação no controlador Cisco Catalyst SD-WAN. Uma vez que a exploração é bem-sucedida, os atores da ameaça conseguem adicionar um dispositivo par (peer) não autorizado à rede. Este ponto de entrada inicial é então utilizado para escalar privilégios, culminando na obtenção de acesso root ao sistema. Com esse nível de controle, os invasores podem garantir sua permanência na infraestrutura SD-WAN, representando um risco significativo e contínuo para a organização.
Métricas da Ameaça no Cisco Catalyst
A CVE-2026-20127 possui pontuação CVSS v3.1 de 10.0 (crítica), com vetor AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H.
Essa pontuação máxima reflete alto impacto em confidencialidade, integridade e disponibilidade, com exploração remota sem autenticação.
Também há uma métrica CVSS v2 de 10.0 (AV:N/AC:L/Au:N/C:C/I:C/A:C).
O EPSS é de 0.976, indicando alta probabilidade (cerca de 97,6%) de exploração nos próximos 30 dias.
Esforço Coordenado de Resposta
Em resposta a esta ameaça, uma coalizão de agências internacionais de segurança cibernética, incluindo a Agência de Segurança Nacional dos EUA (NSA), a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), e os centros de segurança cibernética da Austrália, Canadá, Nova Zelândia e Reino Unido, publicou o Guia de Caça de Vulnerabilidade “Exploitation of Cisco SD-WAN appliances“. Este documento, fundamentado em dados de investigações reais, foi desenvolvido para auxiliar os defensores de rede na detecção e resposta às atividades maliciosas.
Versões Vulneráveis Confirmadas
As versões afetadas pela CVE-2026-20127 incluem Cisco Catalyst SD-WAN Controller (ex-vSmart) e Manager (ex-vManage) em implantações on-premise e na nuvem hospedada pela Cisco.
- Antes da versão 20.9.1: Migre para uma release corrigida.
- 20.9 até 20.9.8.1 (corrigida em 20.9.8.2, estimada para 27/02/2026).
- 20.12.5 até 20.12.5.2 (corrigida em 20.12.5.3).
- 20.12.6 até 20.12.6.0 (corrigida em 20.12.6.1).
- 20.13 até 20.15.4.1 (corrigida em 20.15.4.2).
- 20.14 até 20.15.4.1 (corrigida em 20.15.4.2).
- 20.15 até 20.15.4.1 (corrigida em 20.15.4.2).
- 20.16 até 20.18.2.0 (corrigida em 20.18.2.1).
- 20.18 até 20.18.2.0 (corrigida em 20.18.2.1).
Recomendações de Mitigação
As organizações autoras do guia recomendam enfaticamente que os administradores de rede adotem as seguintes medidas imediatas:
| Ação Recomendada: | Descrição: |
|---|---|
| Coleta de Artefatos | Preserve evidências cruciais, como snapshots virtuais e logs completos da tecnologia SD-WAN, para análise forense. |
| Aplicação de Patches | Revise os boletins de segurança da Cisco: “Cisco Catalyst SD-WAN Vulnerabilities” e “Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability”, e aplique todas as atualizações necessárias para corrigir a vulnerabilidade CVE-2026-20127. |
| Caça a Ameaças (Threat Hunting) | Execute buscas proativas por evidências de comprometimento, seguindo as diretrizes detalhadas no Guia de Caça. |
| Fortalecimento do Ambiente (Hardening) | Implemente as melhores práticas descritas no Guia de Fortalecimento do Cisco Catalyst SD-WAN. |
Diretrizes de Fortalecimento (Hardening)
O guia de hardening da Cisco oferece uma abordagem abrangente para proteger a infraestrutura SD-WAN. As principais recomendações incluem:
- Controles de Perímetro de Rede: Posicione os componentes de controle atrás de um firewall, isole as interfaces da VPN 512 e utilize blocos de IP para provisionamento manual de dispositivos de borda.
- Acesso ao Gerenciador SD-WAN: Substitua o certificado autoassinado da interface de usuário web por um certificado emitido por uma autoridade confiável.
- Segurança do Plano de Controle e Dados: Utilize chaves par a par (pairwise keying) para aumentar a segurança da comunicação.
- Tempo Limite de Sessão: Configure o tempo de inatividade da sessão para o menor período possível que não prejudique a operação.
- Gerenciamento de Logs: Encaminhe todos os logs para um servidor syslog remoto e seguro para garantir a centralização e a integridade dos registros.
Referências
[1] Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability
[2] Exploitation of Cisco SD-WAN appliances
[3] CVE-2026-20127
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.