Blog Blog

Cisco Catalyst SD-WAN Manager: dos CVEs

March 6, 2026
Nestor Martin Guerra Garcia (Dr.Plaga)
CVE
Cisco Catalyst SD-WAN Manager: dos CVEs

Resumen ejecutivo (CEO)

Cisco (vía PSIRT, citado por agencias y prensa) confirmó explotación activa de CVE-2026-20122 (overwrite de archivos) y CVE-2026-20128 (info disclosure que puede terminar en privilegios DCA) en Catalyst SD-WAN Manager. La recomendación es directa: upgrade urgente a releases fijas y hunting (sobre todo si tu vManage está expuesto o con credenciales reutilizadas).

Qué son las fallas (sin chamuyo)

  • CVE-2026-20122 (CVSS 7.1): permite a un atacante autenticado (remoto) sobrescribir archivos arbitrarios en el filesystem. Requiere credenciales válidas (hasta read-only) con acceso API.
  • CVE-2026-20128 (CVSS 5.5): bug en Data Collection Agent (DCA); un atacante autenticado (local) puede leer un archivo con la credencial de DCA y terminar con privilegios DCA. Requiere credenciales vManage.

Por qué importa

No es “otro CVE más”: vManage suele estar en el centro del SD-WAN. Si te lo pisan, el camino lógico es persistencia y manipulación de configuración (y de ahí, movimiento lateral). La ACSC lo mete en el mismo contexto de explotación global sobre SD-WAN, y aclara que la explotación activa confirmada en marzo aplica a estos dos CVEs.

Versiones fijas (según reportes públicos)

Parches disponibles en ramas específicas; ejemplo de mapping publicado:

  • 20.9 → 20.9.8.2
  • 20.11 → 20.12.6.1
  • 20.12 → 20.12.5.3 / 20.12.6.1
  • 20.13/20.14/20.15 → 20.15.4.2
  • 20.16/20.18 → 20.18.2.1

Acciones recomendadas (prioridad 0)

Actualizar ya a release fija (no “cuando haya ventana”).

Reducir superficie: vManage detrás de firewall/allowlist, sin exponer admin portal a redes inseguras.

Rotar credenciales (especialmente cuentas API / read-only) y revisar cuentas “viejas” o compartidas.

Hunting:

  • accesos anómalos a API,
  • actividad sospechosa post-login,
  • cambios de config inesperados,
  • señales de webshells (reportado por investigadores observando intentos).

Lo que NO sabemos (sin inventar)

Cisco no publicó detalles del actor, alcance o víctimas. Solo confirma explotación activa.

Proyección

  • Proyección: explotación oportunista a gran escala en instancias expuestas.
  • Probabilidad: alta.
  • Base: confirmación de explotación activa + spike de intentos reportado por terceros.

Hashtags:
#DrPlaga.sh #Cisco #SDWAN #vManage #CVE #Exploitation #ThreatHunting #NetworkSecurity

Nestor Martin Guerra Garcia (Dr.Plaga)

Nestor Martin Guerra Garcia (Dr.Plaga)

Threat intelligence | Protección de Datos y Gestión de Riesgos | Old school
Volver al blog