La vulnerabilidad CVE-2026-20133 permite acceso no autenticado a información sensible del sistema operativo subyacente. CISA ordenó remediación inmediata bajo la Directiva de Emergencia 26-03.
La Cybersecurity and Infrastructure Security Agency (CISA) añadió el domingo 20 de abril la vulnerabilidad CVE-2026-20133 a su catálogo de vulnerabilidades explotadas conocidamente (KEV), confirmando explotación activa en ataques contra infraestructuras que utilizan Cisco Catalyst SD-WAN Manager. La agencia dio a las agencias federales del poder ejecutivo un plazo de 72 horas, hasta el 23 de abril para aplicar mitigaciones o evaluar su exposición, marcando este fallo como de prioridad crítica para la ciberdefensa nacional.
La vulnerabilidad, clasificada como de exposición de información sensible a un actor no autorizado (CWE-200), permite a atacantes remotos sin autenticación acceder a datos confidenciales del sistema operativo subyacente mediante solicitudes maliciosas a la API del SD-WAN Manager. Cisco describió el fallo en su advisory de seguridad publicado el 25 de febrero, indicando que la causa radica en restricciones insuficientes de acceso al sistema de archivos en la interfaz API del producto.
Cisco Catalyst SD-WAN Manager, anteriormente conocido como vManage, es el componente central de orquestación para redes definidas por software que permite a administradores gestionar hasta 6,000 dispositivos de red desde un único panel de control. Su posición privilegiada en la arquitectura de red lo convierte en un objetivo de alto valor, la exposición de credenciales, tokens de autenticación o configuraciones de red puede facilitar movimientos laterales, escalada de privilegios y eventualmente el despliegue de ransomware en la infraestructura afectada.
El registro en el catálogo KEV de CISA referencia la Directiva de Emergencia 26-03 y la guía de endurecimiento para dispositivos Cisco SD-WAN como recursos obligatorios para la remediación.
Aunque Cisco aún no ha confirmado públicamente la explotación activa de este CVE específico, su advisory mantiene que el equipo de respuesta a incidentes de seguridad de producto (PSIRT) no tiene conocimiento de uso malicioso, la inclusión en el KEV indica que CISA posee evidencia independiente de ataques en curso.
Esta no es la primera vez que vulnerabilidades en Cisco SD-WAN atraen atención de actores de amenazas. En febrero, Cisco confirmó que CVE-2026-20127, una vulnerabilidad crítica de bypass de autenticación con CVSS 9.8, estaba siendo explotada en ataques zero-day que permitían a actores añadir peers maliciosos a redes objetivo desde al menos 2023. Posteriormente, en marzo, la compañía parcheó dos vulnerabilidades de severidad máxima en su Secure Firewall Management Center. El patrón sugiere que las herramientas de gestión de red de Cisco están bajo escrutinio activo de grupos de amenazas sofisticados.
Para organizaciones que operan infraestructura Cisco SD-WAN en Latinoamérica, la recomendación es inmediata, verificar las versiones afectadas contra el advisory oficial de Cisco, aplicar los parches correspondientes y restringir el acceso a la interfaz de gestión mediante segmentación de red y controles de acceso.
La naturaleza de este fallo, explotación remota sin autenticación, lo hace particularmente peligroso para instancias expuestas a internet. CISA ha sido clara: si no existen mitigaciones disponibles, las organizaciones deben considerar descontinuar el uso del producto.
FUENTE ORIGINAL
CISA↗CURADO POR
Johan Ricardo