Los clientes de Cisco se enfrentan a otra vulnerabilidad de día cero explotada activamente que afecta al software de gestión SD-WAN del proveedor, lo que refuerza la presión sobre las organizaciones que han experimentado raras interrupciones de amenazas activas este año.

La vulnerabilidad CVE-2026-20245 – marca el séptimo día cero explotado activamente en Cisco SD-WAN este año.

Cisco dijo que se enteró por primera vez de la explotación activa del último defecto en el software de gestión de red a principios de este mes. La compañía reveló la vulnerabilidad, que fue detectada por primera vez por Mandiant, el jueves y advirtió que aún no hay un parche de seguridad disponible y que, mientras tanto, no hay soluciones para mitigar el defecto.

«En el futuro se proporcionará un parche para esta vulnerabilidad», dijo un portavoz de la compañía en un comunicado.

Cisco no atribuyó los ataques a ningún grupo específico, no describió los objetivos de esos ataques ni compartió cuántas organizaciones ya se han visto afectadas.

El defecto de error de validación que afecta a Cisco Catalyst SD-WAN Manager permite a atacantes autenticados o locales ejecutar comandos como root, lo que resulta en ataques de inyección de comandos en un sistema afectado, dijo la compañía.

Sin embargo, el alcance del impacto potencial puede ser limitado porque la explotación requiere credenciales válidas o acceso privilegiado a través de otros medios. Cisco dijo que la explotación de un par de días cero que reveló a principios de este año: CVE-2026-20182 o CVE-2026-20127 – podría permitir a los atacantes el acceso necesario para explotar la nueva vulnerabilidad.

La compañía dijo que «no tiene conocimiento de una explotación exitosa por otros medios», y agregó que «observó casos limitados en los que la explotación de este error resultó en un cambio de configuración llevado a los dispositivos de borde».

Landon Rice, desarrollador senior de exploits en VulnCheck, dijo que la necesidad de privilegios existentes «hace que un atacante dependa en gran medida de vulnerabilidades anteriores, o de un vector de acceso inicial nuevo, para poder alcanzar el camino de escalada de privilegios».

Cisco recomendó a los clientes que actualizaran al software fijo lanzado en mayo como parte de su respuesta a CVE-2026-20182 como medida de protección.

A falta de un parche que brinde a las organizaciones más protección contra la nueva vulnerabilidad, Cisco proporcionó algunos indicadores de compromiso, pero señaló que esas mismas entradas de registro pueden ocurrir durante las operaciones estándar. La compañía alentó a los clientes que necesitan ayuda para distinguir entre actividades legítimas y maliciosas a comunicarse con los Centros de asistencia técnica de Cisco.

Cisco no es el único proveedor de seguridad que enfrenta una avalancha de ataques contra sus clientes, pero se encuentra entre los más atacados. La Agencia de Seguridad de Infraestructura y Ciberseguridad ha agregado siete vulnerabilidades que afectan Cisco SD-WAN y firewalls a su catálogo de vulnerabilidades explotadas conocidas de este año, sin incluir CVE-2026-20245, que aún no se ha agregado al catálogo.