Los atacantes volvieron una vez más a un objetivo común con una base de usuarios masiva al explotar una vulnerabilidad de día cero de gravedad máxima que afecta al controlador y administrador Cisco Catalyst SD-WAN.

El grupo de amenazas detrás del número «limitado» de ataques de los que Cisco tiene conocimiento hasta ahora también está vinculado a una serie de vulnerabilidades previamente reveladas en los firewalls y sistemas SD-WAN del proveedor, dijo la compañía en un aviso de amenaza Jueves.

La vulnerabilidad de omisión de autenticación: CVE-2026-20182 – tiene una calificación CVSS de 10 y “se comporta como una llave maestra”, escribió Douglas McKee, director de inteligencia de vulnerabilidades de Rapid7, en una publicación de blog.

«Un atacante puede presentarse ante el controlador como un enrutador de red confiable y, si el sistema acepta esa afirmación sin validarla adecuadamente, puede obtener el nivel más alto de acceso administrativo», agregó. «Esa es la versión de ciberseguridad de un truco mental Jedi».

Rapid7 descubrió e informó la vulnerabilidad a Cisco el 9 de marzo, y Cisco dijo que se dio cuenta de la explotación limitada de la vulnerabilidad a principios de este mes. el vendedor revelado y lanzado un parche para la vulnerabilidad el jueves, y la Agencia de Seguridad de Infraestructura y Ciberseguridad rápidamente agregó el defecto a su catálogo de vulnerabilidades explotadas conocidas.

Cisco no explicó lo que ocurrió durante ese período de dos meses. Sin embargo, la divulgación y advertencia de los investigadores marca otro desafío para los clientes de Cisco que se han enfrentado a una avalancha de vulnerabilidades explotadas activamente que afectan el software de red del proveedor desde finales de febrero.

Cisco no es el único proveedor de seguridad que enfrenta una avalancha de ataques contra sus clientes, pero se encuentra entre los más atacados. CISA ha añadido siete vulnerabilidades que afectan Cisco SD-WAN y firewalls a su catálogo de vulnerabilidades explotadas conocidas en menos de tres meses.

Los investigadores de Cisco Talos atribuyeron la última ronda de ataques de día cero a UAT-8616los mismos atacantes que explotaron un par de días cero separados en el software de red de Cisco durante al menos tres años antes de que la actividad fuera descubierta e informada en febrero.

La empresa, que describió la explotación del nuevo día cero como continua, una vez más se negó a responder preguntas sobre los orígenes o motivaciones del UAT-8616.

«Recomendamos encarecidamente a los clientes que apliquen las versiones de software fijas disponibles y sigan las instrucciones proporcionadas en los avisos y en el blog de Cisco Talos», dijo un portavoz de la compañía en un comunicado.

Los investigadores de Cisco Talos también advirtieron que UAT-8616 y al menos otros 10 grupos de amenazas se han encadenado y lograron una «explotación activa generalizada en la naturaleza de tres vulnerabilidades en la infraestructura Cisco Catalyst SD-WAN sin parches». La compañía reveló y lanzó previamente parches para las vulnerabilidades, incluido CVE-2026-20122, CVE-2026-20128 y CVE-2026-20133 — en febrero.

rapid7 lo dijo descubierto la última vulnerabilidad crítica de omisión de autenticación cuando estaba investigando CVE-2026-20127un día cero anterior que los Cinco Ojos identificaron y confirmaron como explotado activamente por UAT-8616 a finales de 2025. Las autoridades y Cisco esperaron al menos dos meses para revelar y parchear la vulnerabilidad, y compartir orientación de mitigación de emergencia.

Esa campaña, que comenzó al menos tres años antes, marcó la segunda serie de días cero explotados activamente en la tecnología de punta de Cisco en menos de un año. Ambas campañas llevaron a CISA a emitir directivas de emergencia meses después de que se detectaran los ataques por primera vez, y ambas oleadas de ataques estuvieron en marcha durante al menos un año antes de que fueran descubiertas.

El último día cero, que evita la autenticación en el mismo servicio de plano de control que CVE-2026-20127, no requiere credenciales ni conocimiento previo del entorno de destino para su explotación, dijo a CyberScoop Jonah Burgess, investigador senior de seguridad de Rapid7.

«Cisco confirmó que afecta a todos los tipos de implementación, incluidos los entornos locales, en la nube y FedRAMP. El controlador SD-WAN gestiona el enrutamiento y la política para toda la red superpuesta, por lo que un único controlador comprometido puede potencialmente darle al atacante influencia sobre cada sucursal, centro de datos y borde de la nube conectados a esa estructura», agregó Burgess.

Su colega en Rapid7, McKee, dijo que los atacantes se han vuelto muy buenos a la hora de convertir las debilidades de la infraestructura de la red central en operaciones de alto impacto.

«Comprometer el enrutador de una sucursal es útil. Comprometer el controlador que administra todo el patrimonio es una conversación muy diferente. Ahora estamos hablando de la capacidad de redirigir el tráfico, interceptar comunicaciones, impulsar configuraciones maliciosas o simplemente interrumpir la conectividad en toda la organización», escribió.

«Ésa es la verdadera paradoja aquí», añadió McKee. «La misma arquitectura que brinda a los defensores escala y simplicidad también puede brindarles a los atacantes un único punto de influencia catastrófica».