Cisco ha anunciado parches para abordar cuatro fallas de seguridad críticas que afectan los servicios de identidad y los servicios Webex y que podrían resultar en la ejecución de código arbitrario y permitir que un atacante se haga pasar por cualquier usuario dentro del servicio.

Los detalles de las vulnerabilidades se encuentran a continuación:

• CVE-2026-20184 (Puntuación CVSS: 9,8): una validación de certificado incorrecta en la integración del inicio de sesión único (SSO) con Control Hub en los servicios Webex que podría permitir que un atacante remoto no autenticado se haga pasar por cualquier usuario dentro del servicio y obtenga acceso no autorizado a los servicios legítimos de Cisco Webex.
• CVE-2026-20147 (Puntuación CVSS: 9,9): una validación insuficiente de la vulnerabilidad de entrada proporcionada por el usuario en Identity Services Engine (ISE) y ISE Passive Identity Connector (ISE-PIC) que podría permitir a un atacante remoto autenticado en posesión de credenciales administrativas válidas lograr la ejecución remota de código mediante el envío de solicitudes HTTP diseñadas.
• CVE-2026-20180 y CVE-2026-20186 (Puntuaciones CVSS: 9,9) – La validación insuficiente múltiple de las vulnerabilidades de entrada proporcionadas por el usuario en ISE podría permitir que un atacante remoto autenticado en posesión de credenciales de administrador de solo lectura ejecute comandos arbitrarios en el sistema operativo subyacente de un dispositivo afectado mediante el envío de solicitudes HTTP diseñadas.

«Un exploit exitoso podría permitir al atacante obtener acceso a nivel de usuario al sistema operativo subyacente y luego elevar los privilegios a root», dijo Cisco en un aviso para CVE-2026-20147, CVE-2026-20180 y CVE-2026-20186.

«En implementaciones ISE de un solo nodo, la explotación exitosa de esta vulnerabilidad podría causar que el nodo ISE afectado deje de estar disponible, lo que resultaría en una condición de denegación de servicio (DoS). En esa condición, los puntos finales que aún no se han autenticado no podrían acceder a la red hasta que se restablezca el nodo».

CVE-2026-20184 no requiere ninguna acción por parte del cliente ya que está basado en la nube. Sin embargo, los clientes que utilizan SSO son aconsejado para cargar un nuevo certificado SAML de proveedor de identidad (IdP) en Control Hub. Las vulnerabilidades restantes se han solucionado en las siguientes versiones:

• CVE-2026-20147
  • Versión Cisco ISE o ISE-PIC anterior a 3.1 (migrar a una versión fija)
  • Cisco ISE versión 3.1 (3.1 parche 11)
  • Cisco ISE versión 3.2 (3.2 parche 10)
  • Cisco ISE versión 3.3 (3.3 parche 11)
  • Cisco ISE versión 3.4 (3.4 parche 6)
  • Cisco ISE versión 3.5 (3.5 parche 3)
• CVE-2026-20180 y CVE-2026-20186
  • Versión de Cisco ISE anterior a la 3.2 (migración a una versión fija)
  • Cisco ISE versión 3.2 (3.2 parche 8)
  • Cisco ISE versión 3.3 (3.3 parche 8)
  • Cisco ISE versión 3.4 (3.4 parche 4)
  • Cisco ISE versión 3.5 (no vulnerable)

Si bien Cisco señaló que no tiene conocimiento de que ninguna de estas deficiencias se esté explotando en la naturaleza, es esencial que los usuarios actualicen sus instancias a la última versión para una protección óptima.

Cisco ha lanzado actualizaciones para abordar una falla de seguridad crítica en el Controlador de Gestión Integrado (IMC) que, si se explota con éxito, podría permitir que un atacante remoto no autenticado evite la autenticación y obtenga acceso al sistema con privilegios elevados.

La vulnerabilidad, registrada como CVE-2026-20093, tiene una puntuación CVSS de 9,8 de un máximo de 10,0.

«Esta vulnerabilidad se debe al manejo incorrecto de las solicitudes de cambio de contraseña», Cisco dicho en un aviso publicado el miércoles. «Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP diseñada a un dispositivo afectado».

«Un exploit exitoso podría permitir al atacante eludir la autenticación, alterar las contraseñas de cualquier usuario en el sistema, incluido un usuario administrador, y obtener acceso al sistema como ese usuario».

Al investigador de seguridad «jyh» se le atribuye el descubrimiento y el informe de la vulnerabilidad. La deficiencia afecta a los siguientes productos independientemente de la configuración del dispositivo:

• Sistemas informáticos de red empresarial (ENCS) serie 5000: corregido en 4.15.5
• uCPE Edge Catalyst serie 8300: corregido en 4.18.3
• Servidores en rack UCS C-Series M5 y M6 en modo independiente: corregido en 4.3 (2.260007), 4.3 (6.260017) y 6.0 (1.250174)
• Servidores UCS E-Series M3: corregido en 3.2.17
• Servidores UCS E-Series M6: corregido en 4.15.3

Otra vulnerabilidad crítica parcheada por Cisco afecta a Smart Software Manager On-Prem (SSM On-Prem), que podría permitir que un atacante remoto no autenticado ejecute comandos arbitrarios en el sistema operativo subyacente. La vulnerabilidad, CVE-2026-20160 (puntuación CVSS: 9,8), se debe a una exposición involuntaria de un servicio interno.

«Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud diseñada a la API del servicio expuesto», Cisco dicho. «Un exploit exitoso podría permitir al atacante ejecutar comandos en el sistema operativo subyacente con privilegios de nivel raíz».

Se han publicado parches para la falla en Cisco SSM On-Prem versión 9-202601. Cisco dijo que la vulnerabilidad fue descubierta internamente durante la resolución de un caso de soporte del Centro de Asistencia Técnica (TAC) de Cisco.

Si bien ninguna de las vulnerabilidades ha sido explotada en la naturaleza, los actores de amenazas han aprovechado una serie de fallas de seguridad recientemente reveladas en los productos de Cisco. A falta de una solución alternativa, se recomienda a los clientes que actualicen a la versión fija para una protección óptima.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha instado a las agencias gubernamentales a aplicar parches para dos fallas de seguridad que afectan Suite de colaboración Synacor Zimbra (ZCS) y Microsoft Office SharePointafirmando que han sido explotados activamente en la naturaleza.

Las vulnerabilidades en cuestión son las siguientes:

• CVE-2025-66376 (Puntuación CVSS: 7,2): una vulnerabilidad de secuencias de comandos entre sitios almacenadas en la interfaz de usuario clásica de ZCS, donde los atacantes podrían abusar de las directivas @import de hojas de estilo en cascada (CSS) en un mensaje de correo electrónico HTML. (Corregido en las versiones 10.0.18 y 10.1.13 en noviembre 2025)
• CVE-2026-20963 (Puntuación CVSS: 8,8): una vulnerabilidad de deserialización de datos no confiables en Microsoft Office SharePoint que permite a un atacante no autorizado ejecutar código a través de una red. (Fijado en enero 2026)

Actualmente no hay informes públicos que hagan referencia a la explotación de las fallas antes mencionadas, quién puede estar aprovechándolas y la escala de dichos esfuerzos. A la luz de la explotación activa, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen parches para CVE-2025-66376 antes del 1 de abril de 2026 y para CVE-2026-20963 antes del 23 de marzo de 2026.

La divulgación se produce cuando Amazon reveló que los actores de amenazas asociados con el ransomware Interlock han explotado una falla de seguridad de máxima gravedad que afecta el software de administración de firewall de Cisco (CVE-2026-20131, puntuación CVSS: 10.0) desde el 26 de enero de 2026, más de un mes antes de que se divulgara públicamente.

«Históricamente, Interlock se ha dirigido a sectores específicos donde la interrupción operativa crea la máxima presión para el pago», dijo Amazon. Estos sectores incluyen educación, ingeniería, arquitectura, construcción, manufactura, industria, atención médica y entidades gubernamentales.

El ataque destaca una vez más un patrón persistente de actores de amenazas que apuntan a dispositivos de red perimetrales de diferentes proveedores, incluidos Cisco, Fortinet, Ivanti y otros, para obtener acceso inicial a las redes de destino. El hecho de que CVE-2026-20131 se haya convertido en un arma de día cero muestra que los atacantes están invirtiendo tiempo y recursos para encontrar fallas previamente desconocidas que podrían otorgarles un acceso elevado.

Los clientes de Cisco se han enfrentado a una avalancha de vulnerabilidades explotadas activamente que afectan el software de red del proveedor desde finales de febrero, y los investigadores dicen que cinco de las nueve vulnerabilidades que Cisco reveló en sus firewalls y sistemas SD-WAN durante las últimas tres semanas ya han sido explotadas en la naturaleza.

Los atacantes explotaron un par de estos defectos (vulnerabilidades de día cero en las SD-WAN de Cisco) durante al menos tres años antes de que el proveedor y las autoridades descubrieran y emitieran advertencias sobre la amenaza. Cisco reveló un cinco vulnerabilidades SD-WAN adicionales ese mismo día, y desde entonces se ha confirmado que tres de esos defectos también se explotan activamente.

Las debilidades que acechan en los productos de seguridad de Cisco no terminan ahí. Amazon Threat Intelligence dijo el miércoles que uno de los dos defectos de gravedad máxima que Cisco informó en su software de gestión de firewall a principios de este mes se había solucionado activamente. explotado por el ransomware Interlock desde el 26 de enero, más de un mes antes de que esas vulnerabilidades se revelaran públicamente.

Algunas organizaciones, funcionarios y miembros de la comunidad de seguridad en general han pasado por alto riesgos cada vez mayores a medida que se atacan más defectos. La avalancha de vulnerabilidades de Cisco SD-WAN y firewall incluye defectos con bajas calificaciones CVSS, días cero y otros que se determinó que fueron explotados activamente después de la divulgación.

«Estos no son errores aleatorios en software de bajo valor. Se trata de debilidades en el plano de gestión y en el plano de control en dispositivos en el borde de la red, que a menudo funcionan como anclajes de confianza en entornos empresariales», dijo a CyberScoop Douglas McKee, director de inteligencia de vulnerabilidades de Rapid7.

«Si compromete la SD-WAN o la gestión del firewall, se verá afectado por políticas, visibilidad, enrutamiento, segmentación y, en muchos casos, confianza administrativa en una gran parte del entorno», añadió. «Los atacantes lo saben y, cuando encuentran una ruta de autorización previa a esos sistemas, especialmente una que pueda encadenarse a la raíz, es lo más atractivo posible».

La lista completa de vulnerabilidades de Cisco reveladas recientemente que afectan a estos sistemas incluye:

Investigadores de varias empresas y de Cisco han observado o han sido notificados sobre la explotación activa de CVE-2026-20127, CVE-2022-20775, CVE-2026-20122, CVE-2026-20128 y CVE-2026-20131.

La Agencia de Seguridad de Infraestructura y Ciberseguridad solo ha agregado dos de los defectos (CVE-2022-20775 y CVE-2026-20127) a su catálogo de vulnerabilidades explotadas conocidas hasta el momento. La agencia, que la semana pasada agregó nuevos requisitos de caza y presentación de informes a un directiva de emergencia publicó sobre los defectos a finales de febrero, no respondió preguntas sobre el pedido actualizado ni explicó por qué otras vulnerabilidades de Cisco explotadas activamente no se han agregado al catálogo. La agencia ha estado operando bajo un cierre de financiación desde febrero.

El ransomware Interlock ataca los firewalls de Cisco

La campaña de ransomware en curso que Amazon Threat Intelligence detectó que involucraba a CVE-2026-20131 confirmó que «Interlock tenía un día cero en sus manos, lo que les daba una semana de ventaja para comprometer organizaciones antes de que los defensores supieran siquiera mirar», dijeron los investigadores el miércoles.

La ruta de ataque y las operaciones observadas de Interlock son extensas e incluyen scripts de reconocimiento posteriores al compromiso, troyanos de acceso remoto personalizados, un webshell y abuso de herramientas legítimas. Amazon no identificó víctimas específicas y dijo que el grupo amenaza a las organizaciones con cifrado de datos, multas regulatorias y valoraciones de cumplimiento.

«Históricamente, Interlock se ha dirigido a sectores específicos donde la interrupción operativa crea la máxima presión para el pago», dijeron los investigadores de Amazon Threat Intelligence en la publicación del blog. Estos sectores incluyen educación, ingeniería, arquitectura, construcción, manufactura, industria, atención médica y entidades gubernamentales.

4 defectos de Cisco SD-WAN bajo ataque

El enjambre de vulnerabilidades en las SD-WAN de Cisco plantea un riesgo adicional para los clientes. Cisco Talos atribuyó anteriormente ataques de larga duración que involucraron CVE-2026-20127 y CVE-2022-20775 a UAT-8616, pero no está claro si el mismo grupo de amenazas es responsable de todos los exploits de Cisco SD-WAN.

«Es probable que otros grupos de amenazas retomen la investigación pública para convertirla en un arma o adaptarla de manera oportunista, por lo que es posible que veamos intentos de seguimiento por parte de actores de amenazas adicionales, incluidos atacantes poco calificados», Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheckdijo a CyberScoop.

Los investigadores dijeron que las vulnerabilidades a menudo se revelan en grupos después de que se identifica un defecto significativo en un producto específico, como los sistemas SD-WAN de Cisco.

Cisco se negó a responder preguntas y dijo que los clientes pueden encontrar la información más reciente sobre su seguridad. página de avisos.

Condon y McKee señalaron que Cisco ha respondido al lanzamiento de correcciones de software, inteligencia de búsqueda de amenazas y, en el caso de los días cero de SD-WAN, orientación gubernamental coordinada.

“Así es como se supone que debe ser una buena respuesta a la crisis una vez que se identifica la explotación”, dijo McKee.

«La pregunta más difícil es si la industria está obteniendo visibilidad lo suficientemente temprana de los defectos del software de gestión de borde que los actores sofisticados están claramente priorizando», añadió. «¿Están nuestras organizaciones equipadas con las personas y las herramientas adecuadas para realizar este nivel de gestión de exposición?»

Las crecientes vulnerabilidades que los clientes de Cisco están combatiendo en firewalls y SD-WAN son un recordatorio de que las organizaciones no deberían despriorizar las vulnerabilidades menos notorias o aquellas con puntuaciones CVSS más bajas, dijo Condon.

«Varias de las vulnerabilidades explotadas en este tramo de errores de Cisco SD-WAN no tienen puntuaciones CVSS críticas, lo que significa que los equipos que utilizan CVSS como mecanismo de priorización podrían pasar por alto fallas de puntuación media o alta que aún tienen utilidad para el adversario en el mundo real», añadió.

Los ataques también reflejan colectivamente un patrón persistente de atacantes que apuntan a sistemas de borde de red de múltiples proveedores, incluido Cisco.

“Los atacantes continúan tratando el borde de la red y la infraestructura de administración como bienes inmuebles de primera calidad, y cuando los defensores ven fallas en el plano de administración y autenticación previa con evidencia de explotación previa a la divulgación, deben asumir un compromiso, no solo una exposición”, dijo McKee.

«Los atacantes están invirtiendo tiempo y capacidad para encontrar y poner en funcionamiento defectos previamente desconocidos en el borde y la infraestructura de gestión de Cisco porque la recompensa es enorme», añadió. «Estas plataformas le brindan una posición privilegiada, amplia visibilidad y un camino hacia el acceso duradero dentro de organizaciones de alto valor. Es exactamente por eso que siguen siendo atacadas».

Amazon Threat Intelligence advierte sobre una campaña activa de ransomware Interlock que explota una falla de seguridad crítica recientemente revelada en el software Cisco Secure Firewall Management Center (FMC).

La vulnerabilidad en cuestión es CVE-2026-20131 (puntuación CVSS: 10.0), un caso de deserialización insegura de un flujo de bytes Java proporcionado por el usuario, que podría permitir a un atacante remoto no autenticado eludir la autenticación y ejecutar código Java arbitrario como root en un dispositivo afectado.

Según datos obtenidos del gigante tecnológico loco red mundial de sensoresse dice que la falla de seguridad fue explotada como día cero desde el 26 de enero de 2026, más de un mes antes de que Cisco la revelara públicamente.

«Esto no era simplemente otro exploit de vulnerabilidad; Interlock tenía un día cero en sus manos, lo que les daba una semana de ventaja para comprometer a las organizaciones antes de que los defensores supieran siquiera mirar. Al hacer este descubrimiento, compartimos nuestros hallazgos con Cisco para ayudar a respaldar su investigación y proteger a los clientes», dijo CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security, en un informe compartido con The Hacker News.

El descubrimiento, dijo Amazon, fue posible gracias a un error de seguridad operativa por parte del actor de amenazas que expuso el conjunto de herramientas operativas de su grupo de cibercrimen a través de un servidor de infraestructura mal configurado, ofreciendo información sobre su cadena de ataque de múltiples etapas, troyanos de acceso remoto personalizados, scripts de reconocimiento y técnicas de evasión.

La cadena de ataque implica el envío de solicitudes HTTP diseñadas a una ruta específica en el software afectado con el objetivo de ejecutar código Java arbitrario, después de lo cual el sistema comprometido emite una solicitud HTTP PUT a un servidor externo para confirmar la explotación exitosa. Una vez que se completa este paso, los comandos se envían para recuperar un binario ELF de un servidor remoto, que aloja otras herramientas vinculadas a Interlock.

La lista de herramientas identificadas es la siguiente:

• Un script de reconocimiento de PowerShell que se utiliza para la enumeración sistemática del entorno de Windows, que recopila detalles sobre el sistema operativo y el hardware, los servicios en ejecución, el software instalado, la configuración de almacenamiento, el inventario de máquinas virtuales Hyper-V, los listados de archivos de usuario en los directorios de escritorio, documentos y descargas, los artefactos del navegador de Chrome, Edge, Firefox, Internet Explorer y el navegador 360, conexiones de red activas y eventos de autenticación RDP de los registros de eventos de Windows.
• Troyanos de acceso remoto personalizados escritos en JavaScript y Java para comando y control, acceso interactivo al shell, ejecución de comandos arbitrarios, transferencia de archivos bidireccional y capacidad de proxy SOCKS5. También admite mecanismos de autoactualización y autoeliminación para reemplazar o eliminar el artefacto sin tener que reinfectar la máquina y desafiar la investigación forense.
• Un script Bash para configurar servidores Linux como servidores proxy inversos HTTP para ocultar los verdaderos orígenes del atacante. El guión cumple falla2banuna herramienta de prevención de intrusiones de Linux de código abierto, y compila y genera una instancia de HAProxy que escucha en el puerto 80 y reenvía todo el tráfico HTTP entrante a una dirección IP de destino codificada. Además, el script de lavado de infraestructura ejecuta una rutina de borrado de registros como una tarea cron cada cinco minutos para eliminar y purgar agresivamente el contenido de los archivos *.log y suprimir el historial del shell al desarmar la variable HISTFILE.
• Un shell web residente en memoria para inspeccionar solicitudes entrantes en busca de parámetros especialmente diseñados que contengan cargas útiles de comandos cifradas, que luego se descifran y ejecutan.
• Una baliza de red liviana para llamar a la infraestructura controlada por un atacante que probablemente valide la ejecución exitosa del código o confirme la accesibilidad del puerto de la red luego de la explotación inicial.
• ConnectWise ScreenConnect para acceso remoto persistente y para servir como vía alternativa en caso de que se detecten y eliminen otros puntos de apoyo.
• Volatility Framework, un marco forense de memoria de código abierto

Los enlaces a Interlock surgen de indicadores técnicos y operativos «convergentes», incluida la nota de rescate integrada y el portal de negociación TOR. La evidencia muestra que el actor de amenazas probablemente esté operativo durante la zona horaria UTC+3.

A la luz de la explotación activa de la falla, se recomienda a los usuarios que apliquen parches lo antes posible, realicen evaluaciones de seguridad para identificar posibles compromisos, revisen las implementaciones de ScreenConnect en busca de instalaciones no autorizadas e implementen estrategias de defensa en profundidad.

«La verdadera historia aquí no se trata solo de una vulnerabilidad o un grupo de ransomware, sino del desafío fundamental que los exploits de día cero plantean para cada modelo de seguridad», dijo Moses. «Cuando los atacantes explotan las vulnerabilidades antes de que existan los parches, ni siquiera los programas de parcheo más diligentes pueden protegerte en esa ventana crítica».

«Esta es precisamente la razón por la que la defensa en profundidad es esencial: los controles de seguridad en capas brindan protección cuando un solo control falla o aún no se ha implementado. La aplicación rápida de parches sigue siendo fundamental en la gestión de vulnerabilidades, pero la defensa en profundidad ayuda a las organizaciones a no estar indefensas durante el período entre el exploit y el parche».

La divulgación se produce cuando Google reveló que los actores del ransomware están cambiando sus tácticas en respuesta a la disminución de las tasas de pago, apuntando a las vulnerabilidades en VPN y firewalls comunes para el acceso inicial y apoyándose menos en herramientas externas y más en las capacidades integradas de Windows.

También se ha descubierto que múltiples grupos de amenazas, tanto los propios operadores de ransomware como los intermediarios de acceso inicial, emplean tácticas de publicidad maliciosa y/o optimización de motores de búsqueda (SEO) para distribuir cargas útiles de malware para el acceso inicial. Otras técnicas comúnmente observadas incluyen el uso de credenciales comprometidas, puertas traseras o software de escritorio remoto legítimo para establecer un punto de apoyo, así como confiar en herramientas integradas y ya instaladas para reconocimiento, escalada de privilegios y movimiento lateral.

«Si bien anticipamos que el ransomware seguirá siendo una de las amenazas más dominantes a nivel mundial, la reducción de las ganancias puede hacer que algunos actores de amenazas busquen otros métodos de monetización», dijo Google. «Esto podría manifestarse como un aumento de las operaciones de extorsión por robo de datos, el uso de tácticas de extorsión más agresivas o el uso oportunista de acceso a los entornos de las víctimas para mecanismos secundarios de monetización, como el uso de infraestructura comprometida para enviar mensajes de phishing».

Cisco ha revelado que dos vulnerabilidades más que afectan a Catalyst SD-WAN Manager (anteriormente SD-WAN vManage) han sido explotadas activamente en la naturaleza.

El vulnerabilidades en cuestión se enumeran a continuación –

• CVE-2026-20122 (Puntuación CVSS: 7,1): una vulnerabilidad de sobrescritura de archivos arbitraria que podría permitir a un atacante remoto autenticado sobrescribir archivos arbitrarios en el sistema de archivos local. La explotación exitosa requiere que el atacante tenga credenciales válidas de solo lectura con acceso API en el sistema afectado.
• CVE-2026-20128 (Puntuación CVSS: 5,5): una vulnerabilidad de divulgación de información que podría permitir a un atacante local autenticado obtener privilegios de usuario del Agente de recopilación de datos (DCA) en un sistema afectado. La explotación exitosa requiere que el atacante tenga credenciales de vManage válidas en el sistema afectado.

Cisco lanzó los parches para los defectos de seguridad, junto con CVE-2026-20126, CVE-2026-20129 y CVE-2026-20133, a fines del mes pasado en las siguientes versiones:

• Anterior a la versión 20.91: migre a una versión fija.
• Versión 20.9 – Corregido en 20.9.8.2
• Versión 20.11 – Corregido en 20.12.6.1
• Versión 20.12: corregida en 20.12.5.3 y 20.12.6.1
• Versión 20.13 – Corregido en 20.15.4.2
• Versión 20.14 – Corregido en 20.15.4.2
• Versión 20.15 – Corregido en 20.15.4.2
• Versión 20.16 – Corregido en 20.18.2.1
• Versión 20.18 – Corregido en 20.18.2.1

«En marzo de 2026, Cisco PSIRT se dio cuenta de la explotación activa de las vulnerabilidades que se describen únicamente en CVE-2026-20128 y CVE-2026-20122», dijo el especialista en equipos de redes. La empresa no dio más detalles sobre la escala de la actividad y quién podría estar detrás de ella.

A la luz de la explotación activa, se recomienda a los usuarios actualizar a una versión de software fija lo antes posible y tomar medidas para limitar el acceso desde redes no seguras, proteger los dispositivos detrás de un firewall, deshabilitar HTTP para el portal de administrador de la interfaz de usuario web de Catalyst SD-WAN Manager, desactivar servicios de red como HTTP y FTP si no son necesarios, cambiar la contraseña de administrador predeterminada y monitorear el tráfico de registro para detectar cualquier tráfico inesperado hacia y desde los sistemas.

La divulgación se produce una semana después de que la compañía dijera que una falla de seguridad crítica en Cisco Catalyst SD-WAN Controller y Catalyst SD-WAN Manager (CVE-2026-20127, puntuación CVSS: 10.0) había sido explotada por un actor de amenazas cibernéticas altamente sofisticado rastreado como UAT-8616 para establecer puntos de apoyo persistentes en organizaciones de alto valor.

Esta semana, Cisco también actualizaciones publicadas para abordar dos vulnerabilidades de seguridad de máxima gravedad en Secure Firewall Management Center (CVE-2026-20079 y CVE-2026-20131puntuaciones CVSS: 10.0) que podrían permitir a un atacante remoto no autenticado eludir la autenticación y ejecutar código Java arbitrario como root en un dispositivo afectado.

Cisco publicó el miércoles información sobre un par de vulnerabilidades de máxima gravedad en su software de administración de firewall que atacantes remotos no autenticados podrían explotar para obtener el más alto nivel de acceso al sistema operativo subyacente o a los dispositivos afectados.

Las vulnerabilidades – CVE-2026-20079 y CVE-2026-20131 – afectan la interfaz basada en web del software Cisco Secure Firewall Management Center (FMC), independientemente de la configuración del dispositivo, dijo el proveedor.

Cisco reveló las vulnerabilidades críticas una semana después de advertir que los atacantes han estado explotando un par de días cero en el software de red de Cisco durante al menos tres años. Esa campaña, que está en curso, marcó la segunda serie de múltiples días cero explotados activamente en la tecnología de punta de Cisco desde la primavera pasada.

Ambas campañas llevaron a la Agencia de Seguridad de Infraestructura y Ciberseguridad a emitir directivas de emergencia meses después de que se detectaran los ataques por primera vez, y ambas oleadas de ataques estuvieron en marcha durante al menos un año antes de que fueran descubiertas.

Cisco dijo que las nuevas vulnerabilidades fueron reveladas y reparadas como parte de su actualización semestralque contenía 48 vulnerabilidades en múltiples productos de seguridad.

«En el momento de la publicación, Cisco PSIRT (equipo de respuesta a incidentes de seguridad pública) no tiene conocimiento de ningún uso malicioso de estas vulnerabilidades», dijo un portavoz de la empresa a CyberScoop.

«Recomendamos encarecidamente a los clientes que actualicen a las versiones de software fijas disponibles que aborden estas vulnerabilidades», añadió el portavoz.

Una de las vulnerabilidades del software Cisco Secure FMC, CVE-2026-20079, permite a los atacantes eludir la autenticación y ejecutar archivos de script en un dispositivo afectado para obtener acceso raíz al sistema operativo.

«Esta vulnerabilidad se debe a un proceso inadecuado del sistema que se crea en el momento del arranque», dijo Cisco en un aviso de seguridad.

Cisco dijo que el segundo defecto crítico, CVE-2026-20131, es una falla de deserialización que permite a los atacantes lograr la ejecución remota de código.

«Un atacante podría explotar esta vulnerabilidad enviando un objeto Java serializado y diseñado a la interfaz de administración basada en web de un dispositivo afectado», dijo el proveedor en un aviso de seguridad. «Un exploit exitoso podría permitir al atacante ejecutar código arbitrario en el dispositivo y elevar los privilegios a root».

Cisco describe el producto afectado como el «centro neurálgico administrativo» para la gestión de firewall, control de aplicaciones, prevención de intrusiones, filtrado de URL y protección contra malware.

No existen soluciones para ninguna de las vulnerabilidades. Cisco no dijo cómo podrían estar relacionadas las vulnerabilidades, si se pueden encadenar para explotarlas, ni cuándo y bajo qué circunstancias se dio cuenta de los defectos.

Los atacantes han estado explotando un par de vulnerabilidades de día cero en el software de red de Cisco durante al menos tres años, y la campaña global está en curso, dijeron las autoridades a través de una serie de advertencias publicadas el miércoles.

La Agencia de Seguridad de Infraestructura y Ciberseguridad emitió un directiva de emergencia sobre los ataques globales y emitidos Orientación conjunta con los Cinco Ojos. para ayudar a los defensores a responder y buscar evidencia de compromiso.

Esto marca la segunda serie de múltiples vulnerabilidades de día cero explotadas activamente en la tecnología de punta de Cisco desde la primavera pasada. Ambas campañas dieron lugar a directivas de emergencia de CISA meses después de que se detectaran los ataques por primera vez, y ambas oleadas de ataques estuvieron en marcha durante al menos un año antes de que fueran identificadas.

Las autoridades se abstuvieron de atribuir los ataques a ningún estado nación o grupo amenazador. Los investigadores de Cisco Talos asignaron los exploits y la actividad posterior al compromiso a UAT-8616, al que sólo describieron como un “actor de amenazas altamente sofisticado”.

El «intento de explotación del grupo de actividades indica una tendencia continua de apuntar a dispositivos de borde de red por parte de actores de amenazas cibernéticas para establecer puntos de apoyo persistentes en organizaciones de alto valor, incluidos sectores de infraestructura críticos», dijo Cisco Talos en un aviso de amenazas.

La actividad maliciosa vinculada a esta campaña tiene un gran alcance y los atacantes han explotado las vulnerabilidades en sistemas específicos para acceder y potencialmente comprometer las redes federales, dijo Nick Andersen, subdirector ejecutivo de ciberseguridad de CISA, durante una conferencia de prensa el miércoles.

Andersen se negó a decir cuándo CISA tuvo conocimiento de esta actividad por primera vez y no proporcionó detalles sobre las víctimas potenciales, y agregó que los funcionarios están trabajando en las etapas iniciales de mitigación.

En la guía de búsqueda de amenazas publicada conjuntamente, Five Eyes dijo que todos los miembros estaban conscientes de que el día cero más reciente… CVE-2026-20127 – fue identificado y confirmado como explotado activamente a fines de 2025. Los funcionarios y Cisco no explicaron por qué tomó al menos dos meses revelar y parchear la vulnerabilidad, y compartir orientación de mitigación de emergencia.

Los atacantes están obteniendo el control total de un sistema en una cadena al explotar CVE-2026-20127 para evitar la autenticación y luego degradar el software a una versión vulnerable a CVE-2022-20775 para aumentar los privilegios, dijo Douglas McKee, director de inteligencia de vulnerabilidades en Rapid7.

«Ese segundo paso les permite pasar del control administrativo a la raíz del sistema operativo subyacente. Ese paso a la degradación muestra un conocimiento deliberado de las versiones del producto y del historial de parches», dijo a CyberScoop. «Esto no es un escaneo oportunista. Es un arte estructurado».

CISA agregó CVE-2022-20775 y CVE-2026-20127 a su catálogo de vulnerabilidades explotadas conocidas Miércoles.

La brecha de tres años entre los ataques iniciales conocidos y la explotación detectada de los días cero muestra el uso quirúrgico de las vulnerabilidades por parte de los atacantes y la naturaleza altamente dirigida de su campaña, dijo Ben Harris, fundador y director ejecutivo de watchTowr.

La línea de tiempo y la ruta de ataque conocida también indican una disciplina operativa que permitió a los atacantes mantener el acceso a largo plazo en la infraestructura de red crítica sin activar alarmas, dijo McKee. Esas actividades se alinean “más estrechamente con el espionaje patrocinado por el Estado que con delitos con motivación financiera”, añadió.

La directiva de emergencia de CISA requiere que las agencias federales realicen un inventario de todos los sistemas Cisco SD-WAN vulnerables, recopilen registros de esos sistemas, apliquen las actualizaciones de seguridad de Cisco, busquen evidencia de compromiso y sigan La guía de Cisco para el viernes.

La última campaña dirigida a la tecnología de borde de red de Cisco comparte muchas similitudes con otra serie de ataques sobre los que Cisco advirtió en septiembre. Esos ataques, que involucraron al menos dos días cero explotados activamente, estuvieron en marcha durante al menos un año antes de ser descubiertos por primera vez en mayo.

Cisco no respondió preguntas sobre posibles conexiones entre las campañas. El vendedor y los funcionarios también han evitado hasta ahora compartir detalles sobre lo que ocurrió detrás de escena durante estos ataques sostenidos.

Un portavoz de Cisco instó a los clientes a actualizar el software y seguir orientación de su asesor.

Desafortunadamente, es demasiado tarde para que algunos clientes de Cisco SD-WAN apliquen parches, dijo Harris. «El consejo de Cisco de reconstruir completamente y buscar señales previas de intrusión debe tomarse en serio».

Una falla de seguridad de máxima gravedad recientemente revelada en Cisco Catalyst SD-WAN Controller (anteriormente vSmart) y Catalyst SD-WAN Manager (anteriormente vManage) ha sido objeto de explotación activa en la naturaleza como parte de una actividad maliciosa que se remonta a 2023.

La vulnerabilidad, rastreada como CVE-2026-20127 (Puntuación CVSS: 10.0), permite a un atacante remoto no autenticado eludir la autenticación y obtener privilegios administrativos en el sistema afectado enviando una solicitud diseñada a un sistema afectado.

La explotación exitosa de la falla podría permitir al adversario obtener privilegios elevados en el sistema como una cuenta de usuario interna, no root y con altos privilegios.

«Esta vulnerabilidad existe porque el mecanismo de autenticación de peering en un sistema afectado no funciona correctamente», Cisco dicho En un aviso, agregar el actor de amenazas podría aprovechar la cuenta de usuario no root para acceder a NETCONF y manipular la configuración de red para la estructura SD-WAN.

La deficiencia afecta a los siguientes tipos de implementación, independientemente de la configuración del dispositivo:

• Implementación local
• Nube SD-WAN alojada en Cisco
• Nube SD-WAN alojada en Cisco: administrada por Cisco
• Nube SD-WAN alojada en Cisco: entorno FedRAMP

Cisco le dio crédito al Centro Australiano de Seguridad Cibernética (ASD-ACSC) de la Dirección Australiana de Señales por informar sobre la vulnerabilidad. El especialista en equipos de redes está rastreando la explotación y la posterior actividad posterior al compromiso bajo el apodo. UAT-8616describiendo el clúster como un «actor de amenazas cibernéticas altamente sofisticado».

La vulnerabilidad se ha solucionado en las siguientes versiones de Cisco Catalyst SD-WAN:

• Antes de la versión 20.91: migre a una versión fija.
• Versión 20.9 – 20.9.8.2 (lanzamiento estimado para el 27 de febrero de 2026)
• Versión 20.111 – 20.12.6.1
• Versión 20.12.5 – 20.12.5.3
• Versión 20.12.6 – 20.12.6.1
• Versión 20.131 – 20.15.4.2
• Versión 20.141 – 20.15.4.2
• Versión 20.15 – 20.15.4.2
• Versión 20.161 – 20.18.2.1
• Versión 20.18 – 20.18.2.1

«Los sistemas Cisco Catalyst SD-WAN Controller que están expuestos a Internet y que tienen puertos expuestos a Internet corren el riesgo de verse comprometidos», advirtió Cisco.

La compañía también recomendó a los clientes que auditen el archivo «/var/log/auth.log» en busca de entradas relacionadas con la «Clave pública aceptada para vmanage-admin» de direcciones IP desconocidas o no autorizadas. También se recomienda verificar las direcciones IP en el archivo de registro auth.log con las IP del sistema configuradas que se enumeran en la interfaz de usuario web de Cisco Catalyst SD-WAN Manager (WebUI > Dispositivos > IP del sistema).

Según la información publicada por ASD-ACSC, se dice que UAT-8616 ha comprometido las SD-WAN de Cisco desde 2023 a través del exploit de día cero, lo que le permite obtener un acceso elevado.

«La vulnerabilidad permitió a un actor cibernético malicioso crear un par deshonesto unido al plano de gestión de red, o plano de control, de la SD-WAN de una organización», dijo ASD-ACSC. «El dispositivo fraudulento aparece como un componente SD-WAN nuevo pero temporal, controlado por un actor, que puede realizar acciones confiables dentro del plano de gestión y control».

Después de comprometer con éxito una aplicación pública, se descubrió que los atacantes aprovechan el mecanismo de actualización incorporado para realizar una degradación de la versión del software y escalarla al usuario raíz mediante la explotación. CVE-2022-20775 (Puntuación CVSS: 7,8), un error de escalada de privilegios de alta gravedad en la CLI del software Cisco SD-WAN y luego restaurar el software a la versión que se estaba ejecutando originalmente.

Algunos de los pasos posteriores iniciados por el actor de amenazas son los siguientes:

• Creé cuentas de usuarios locales que imitaban otras cuentas de usuarios locales.
• Se agregó una clave autorizada del Protocolo Secure Shell (SSH) para acceso raíz y se modificaron los scripts de inicio relacionados con SD-WAN para personalizar el entorno.
• Se utilizó el protocolo de configuración de red en el puerto 830 (NETCONF) y SSH para conectarse a/entre dispositivos Cisco SD-WAN dentro del plano de administración.
• Se tomaron medidas para eliminar la evidencia de la intrusión eliminando los registros en «/var/log», el historial de comandos y el historial de conexiones de red.

«El intento de explotación de UAT-8616 indica una tendencia continua de apuntar a dispositivos de borde de red por parte de actores de amenazas cibernéticas que buscan establecer puntos de apoyo persistentes en organizaciones de alto valor, incluidos los sectores de infraestructura crítica (CI)», dijo Talos.

El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) a agregar tanto CVE-2022-20775 como CVE-2026-20127 a sus vulnerabilidades explotadas conocidas (KEV), ordenando a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones dentro de las próximas 24 horas.

Para comprobar si hay una degradación de la versión y eventos de reinicio inesperados, CISA recomienda analizando los siguientes registros –

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

CISA también ha emitido una nueva directiva de emergencia, 26-03: Mitigar las vulnerabilidades en los sistemas Cisco SD-WANcomo parte del cual las agencias federales deben inventariar los dispositivos SD-WAN, aplicar actualizaciones y evaluar posibles compromisos.

Con ese fin, se ordenó a las agencias que proporcionen un catálogo de todos los sistemas SD-WAN incluidos en sus redes antes del 26 de febrero de 2026 a las 11:59 p. m., hora del Este. Además, deben enviar un inventario detallado de todos los productos incluidos y las acciones tomadas antes del 5 de marzo de 2026 a las 11:59 p. m., hora del Este. Por último, las agencias deberán presentar la lista de todos los pasos tomados para reforzar sus entornos antes del 26 de marzo de 2026 a las 11:59 p. m., hora del Este.