Cisco confirma exploração ativa de zero-day no SD-WAN Manager; CISA impõe prazo emergencial a agências federais

Falha crítica no coração da rede corporativa

Uma vulnerabilidade de alto risco no Cisco Catalyst SD-WAN Manager está sendo explorada ativamente em ambientes reais, confirmou a própria Cisco em comunicado oficial publicado no início de junho de 2026. Identificada como CVE-2026-20245 e classificada com pontuação CVSS 7.8, a falha afeta todas as versões do produto até a 20.18.2.1, abrangendo implantações on-premises, ambientes gerenciados na nuvem (Cisco SD-WAN Cloud-Pro e Cloud Managed) e até a modalidade certificada para o governo federal americano (FedRAMP). A gravidade do cenário motivou ação imediata de autoridades de segurança cibernética nos Estados Unidos e na Austrália.

O mecanismo da exploração

A falha reside em uma validação insuficiente de entrada de dados na interface de linha de comando do Catalyst SD-WAN Manager. Um usuário local autenticado com credenciais de nível netadmin consegue enviar um arquivo especialmente construído ao sistema, o que desencadeia uma sequência de injeção de comandos capaz de elevar os privilégios do atacante até o nível de root — o mais alto dentro de um sistema Unix/Linux. Na prática, isso significa controle total sobre o dispositivo comprometido. Além do SD-WAN Manager, versões vulneráveis do Catalyst SD-WAN Controller e do Catalyst SD-WAN Validator também constam no advisory oficial da Cisco (cisco-sa-sdwan-privesc-4uxFrdzx). Os pesquisadores Chester Sng, Pete Boonyakarn e Logeswaran Nadarajan, da Mandiant — divisão de inteligência de ameaças do Google Cloud —, receberam os créditos pela descoberta e reporte responsável ao fabricante.

Exploração confirmada em campo

A Cisco reconheceu ter identificado casos concretos de exploração bem-sucedida da vulnerabilidade, nos quais os atacantes conseguiram enviar alterações de configuração para dispositivos de borda (edge devices) da rede SD-WAN das vítimas. Embora o número de incidentes confirmados até o momento seja descrito como limitado, o vetor de impacto é preocupante: modificações silenciosas em equipamentos de borda podem redirecionar tráfego, interceptar comunicações ou criar backdoors persistentes em infraestruturas críticas. A CVE-2026-20245 não está isolada — ela integra uma série de vulnerabilidades ativas no ecossistema SD-WAN da Cisco, que inclui também a CVE-2026-20182 (classificada como crítica), a CVE-2026-20133 e a CVE-2026-20127.

Resposta regulatória e recomendações

Diante da exploração ativa confirmada, a Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) adicionou a CVE-2026-20245 ao seu catálogo de vulnerabilidades exploradas conhecidas e impôs um prazo emergencial para que agências do governo federal americano apliquem a correção ou adotem medidas de mitigação. Autoridades australianas de cibersegurança também emitiram alertas para organizações do país que utilizam soluções SD-WAN da Cisco. O fabricante confirmou a disponibilização de correção na versão 20.18.3.1 e posteriores, e recomenda que administradores atualizem os sistemas afetados com urgência. A empresa também orienta a coleta de logs e a revisão de configurações em dispositivos de borda como parte do processo de resposta a incidentes. O advisory oficial não descreve workarounds alternativos: a única mitigação definitiva é a atualização de software.

Contexto mais amplo

A recorrência de vulnerabilidades graves no portfólio SD-WAN da Cisco em 2026 sinaliza um período de exposição elevada para organizações que dependem dessas soluções para conectar filiais, data centers e ambientes de nuvem. Infraestruturas de SD-WAN tornaram-se alvos prioritários de grupos de ameaça avançada justamente por sua posição estratégica: quem controla o plano de gerenciamento da rede tem visibilidade e influência sobre grandes volumes de tráfego corporativo. Administradores de redes que operam o Catalyst SD-WAN Manager devem verificar imediatamente a versão instalada e priorizar a atualização para 20.18.3.1 ou superior, além de auditar logs em busca de atividades anômalas nos últimos dias.

Fonte original: Cyber Security Brazil — Falha crítica no Cisco Catalyst SD-WAN Manager é explorada ativamente. Publicado em 6 de junho de 2026. Corroborado pelo advisory oficial da Cisco (cisco-sa-sdwan-privesc-4uxFrdzx), BleepingComputer e Help Net Security.