Esta falha acabou de receber atualização na severidade, tendo já o CVSS score de 10.0, representada pelo CVE-2026-20127. É uma falha que permite ao atacante executar código remotamente sem autenticação através de pedidos especialmente preparados para contornar o mecanismo de autenticação do sistema.

O que o atacante consegue fazer:

• Entrar no sistema como utilizador interno com privilégios elevados.

• Aceder ao NETCONF e alterar configurações da rede SD-WAN.

• Em ataques observados, os invasores:

• Entram no sistema usando a vulnerabilidade.

• Fazem downgrade do software para uma versão vulnerável.

Além disso, os atacantes exploraram outra falha (CVE-2022-20775) para obter acesso root, voltaram a atualizar o sistema para esconder os rastos. Sabe-se que foi publicado um PoC, o que permite que a falha esteja a ser ativamente explorada.

Produtos afetados

• On-Prem Deployment

• Cisco Hosted SD-WAN Cloud

• Cisco Hosted SD-WAN Cloud - Cisco Managed

• Cisco Hosted SD-WAN Cloud - FedRAMP Environment

Recomendações

• Atualizar imediatamente os sistemas Cisco afetados (para a versão 20.9).

• Verificar logs e conexões suspeitas.

• Monitorizar alterações de versão do software e chaves SSH não autorizadas.

• Bloquear acesso direto da internet, permitindo apenas hosts confiáveis.

• Usar firewall (ou dupla firewall) para filtrar o tráfego para os sistemas.

• Monitorizar regularmente os logs e guardá-los num servidor externo.

• Desativar HTTP no portal de administração e outros serviços desnecessários (por exemplo o FTP).

• Alterar a password padrão do administrador e usar contas com permissões específicas.

• Usar SSL/TLS com certificado para garantir comunicações seguras.

Advisory oficial da Cisco: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk

Mais pormenores técnicos: https://blog.talosintelligence.com/uat-8616-sd-wan/