O Diário do Analista
Vol. 2 (abr. 2026)  |  Pp. 213–215  |  ISSN 3086-6103

Vulnerabilidade crítica de bypass de autenticação no Cisco Catalyst SD-WAN (CVE-2026-20127)

Uma vulnerabilidade crítica, identificada como CVE-2026-20127, foi divulgada, dia 25 de Fevereiro, afetando componentes da plataforma Cisco Catalyst SD-WAN, anteriormente conhecida como Viptela. A falha permite que um atacante remoto, sem necessidade de autenticação, contorne o mecanismo de autenticação entre controladores (peering authentication) e obtenha privilégios administrativos sobre dispositivos afetados.

Classificada com CVSS 10.0, a vulnerabilidade afeta o Cisco Catalyst SD-WAN Controller (vSmart), o Cisco Catalyst SD-WAN Manager (vManage) e o Cisco Catalyst SD-WAN Validator (vBond) e tem tido sua pontuação EPSS gradualmente aumentada, hoje, 9 de Julho, ela conta com 57.79% desde 23 de Junho. Segundo a Cisco [1] e a Rapid7 [3], a falha decorre de uma validação incorreta durante o estabelecimento das conexões de controle entre esses componentes, permitindo que mensagens especialmente construídas sejam aceitas como legítimas.

Além da divulgação da vulnerabilidade, pesquisadores da Rapid7 disponibilizaram um módulo para o framework Metasploit [2] capaz de validar e demonstrar o impacto da falha em ambientes controlados, auxiliando administradores na identificação de sistemas vulneráveis.

 


Cadeia de Ataque

O ataque inicia-se quando um controlador Cisco Catalyst SD-WAN vulnerável expõe seu serviço de comunicação para outros componentes da malha SD-WAN. Em condições normais, esse processo estabelece uma relação de confiança entre os dispositivos participantes antes da troca de informações administrativas.

Entretanto, devido a uma falha lógica no mecanismo de autenticação do serviço ‘vdaemon’, determinadas mensagens utilizadas durante o processo de estabelecimento da conexão podem ser aceitas sem que o remetente tenha sido devidamente autenticado. Como consequência, um atacante remoto consegue fazer com que o equipamento reconheça sua conexão como pertencente a um controlador legítimo da infraestrutura.

Após contornar a autenticação, o invasor passa a operar utilizando uma conta interna de alto privilégio (não-root), suficiente para acessar serviços administrativos como o NETCONF e alterar a configuração da infraestrutura SD-WAN. Em cenários observados durante investigações conduzidas pela Cisco Talos, esse acesso inicial foi posteriormente utilizado para estabelecer persistência, adicionar chaves SSH e, em alguns casos, realizar novas etapas de comprometimento visando a obtenção de privilégios de sistema operacional.

Por comprometer diretamente o plano de controle da rede SD-WAN, a vulnerabilidade pode permitir alterações de configuração em larga escala, impactando todos os dispositivos gerenciados pela infraestrutura afetada.

 


Mitigações

Dentre as recomendações para redução de riscos, destacam-se:

  • Atualizar os componentes Cisco Catalyst SD-WAN para versões corrigidas disponibilizadas pela Cisco;

  • Restringir o acesso aos serviços de gerenciamento e às portas do plano de controle apenas a dispositivos autorizados;

  • Revisar logs de autenticação, conexões entre controladores e alterações recentes de configuração em busca de indicadores de comprometimento;

  • Verificar a existência de chaves SSH não autorizadas ou novos usuários administrativos adicionados ao sistema;

  • Preservar evidências e realizar uma análise de comprometimento antes da atualização, caso haja suspeita de exploração da vulnerabilidade.

A Cisco informa que não existem soluções alternativas para mitigar a falha, sendo a atualização para uma versão corrigida a única medida efetiva de remediação.

 


Fontes

[1] CISCO. Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability (CVE-2026-20127). 2026. Disponível em: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk. Acesso em: 9 jul. 2026.

[2] RAPID7. Cisco Catalyst SD-WAN Controller Authentication Bypass. Metasploit Module Database. 2026. Disponível em: https://www.rapid7.com/db/modules/auxiliary/admin/networking/cisco_sdwan_auth_bypass/. Acesso em: 9 jul. 2026.

[3] RAPID7. Rapid7 Analysis: CVE-2026-20127. 2026. Disponível em: https://www.rapid7.com/blog/post/ra-cve-2026-20127-analysis/. Acesso em: 9 jul. 2026.

[4] RAPID7. Cisco Catalyst SD-WAN: CVE-2026-20127 Authentication Bypass Vulnerability. Vulnerability Database. 2026. Disponível em: https://www.rapid7.com/db/vulnerabilities/cisco-catalyst-sdwan-cve-2026-20127/. Acesso em: 9 jul. 2026.

Tags: , , .

Categorias: Cisco, CVE, Uncategorized, Vulnerabilidade.