Blog Blog

Cisco Catalyst SD-WAN: CVE-2026-20127 (CVSS 10)

February 25, 2026
Nestor Martin Guerra Garcia (Dr.Plaga)
Noticias
Cisco Catalyst SD-WAN: CVE-2026-20127 (CVSS 10)

Resumen ejecutivo (CEO)

Hay explotación activa de CVE-2026-20127 en Cisco Catalyst SD-WAN (Controller/Manager): permite bypass de autenticación y obtener privilegios administrativos. Talos lo asocia a un cluster (UAT-8616) y encontró evidencia de actividad desde 2023. El patrón incluye agregar rogue peers para persistencia y, en algunos casos, llegar a root con técnicas adicionales.

Qué pasó

  • CVE-2026-20127 afecta el proceso de peering authentication y permite que un atacante remoto, sin autenticación, obtenga acceso admin (alto privilegio, no-root inicialmente).
  • Agencias “Five Eyes” publicaron guía de caza/mitigación y remarcan que los atacantes agregan rogue peers para mantener acceso y operar a largo plazo.

Detalles que importan (sin relleno)

  • Talos: explotación activa atribuida a UAT-8616; evidencia de actividad desde 2023.
  • Canadá (Cyber Centre): reporta incidentes donde se agregaron rogue peers, habilitando admin access, persistencia y acceso prolongado.
  • Tenable resume: no hay workarounds “mágicos”; hay que parchar y seguir guía de hunting.

Acciones (prioridad 0)

Inventariar SD-WAN Controller/Manager expuestos y en scope (on-prem y cloud/hosted).

Parchar ya a versiones fijas (ejemplos publicados: 20.12.5.3 / 20.12.6.1 / 20.15.4.2 / 20.18.2.1; 20.9.8.2 reportado como release estimado 27/02).

Hunting: revisar eventos de peering/control connection “raros” (IPs desconocidas, horarios anómalos, tipos de peer que no corresponden).

Hardening: control components detrás de firewall, aislar interfaces de management (ej. VPN 512), syslog remoto, cert propio para UI, pairwise keying.

Preservar evidencia: snapshots/logs antes de tocar todo (lo piden explícitamente en la guía).

Lo que NO sabemos (sin inventar)

  • Qué organizaciones específicas fueron comprometidas (no se listan públicamente). Sí hay confirmación de explotación activa y guía de hunting.

Proyección

  • Proyección: incremento de compromisos en edge/control-plane, con persistencia vía configuración (rogue peers).
  • Probabilidad: alta.
  • Base: explotación activa + evidencia histórica desde 2023 + guía multinacional publicada.

Hashtags:
#DrPlaga.sh #Cisco #SDWAN #ZeroDay #CVE #NetworkSecurity #ThreatHunting #IncidentResponse

Nestor Martin Guerra Garcia (Dr.Plaga)

Nestor Martin Guerra Garcia (Dr.Plaga)

Threat intelligence | Protección de Datos y Gestión de Riesgos | Old school
Volver al blog