Los clientes de Cisco se han enfrentado a una avalancha de vulnerabilidades explotadas activamente que afectan el software de red del proveedor desde finales de febrero, y los investigadores dicen que cinco de las nueve vulnerabilidades que Cisco reveló en sus firewalls y sistemas SD-WAN durante las últimas tres semanas ya han sido explotadas en la naturaleza.

Los atacantes explotaron un par de estos defectos (vulnerabilidades de día cero en las SD-WAN de Cisco) durante al menos tres años antes de que el proveedor y las autoridades descubrieran y emitieran advertencias sobre la amenaza. Cisco reveló un cinco vulnerabilidades SD-WAN adicionales ese mismo día, y desde entonces se ha confirmado que tres de esos defectos también se explotan activamente.

Las debilidades que acechan en los productos de seguridad de Cisco no terminan ahí. Amazon Threat Intelligence dijo el miércoles que uno de los dos defectos de gravedad máxima que Cisco informó en su software de gestión de firewall a principios de este mes se había solucionado activamente. explotado por el ransomware Interlock desde el 26 de enero, más de un mes antes de que esas vulnerabilidades se revelaran públicamente.

Algunas organizaciones, funcionarios y miembros de la comunidad de seguridad en general han pasado por alto riesgos cada vez mayores a medida que se atacan más defectos. La avalancha de vulnerabilidades de Cisco SD-WAN y firewall incluye defectos con bajas calificaciones CVSS, días cero y otros que se determinó que fueron explotados activamente después de la divulgación.

«Estos no son errores aleatorios en software de bajo valor. Se trata de debilidades en el plano de gestión y en el plano de control en dispositivos en el borde de la red, que a menudo funcionan como anclajes de confianza en entornos empresariales», dijo a CyberScoop Douglas McKee, director de inteligencia de vulnerabilidades de Rapid7.

«Si compromete la SD-WAN o la gestión del firewall, se verá afectado por políticas, visibilidad, enrutamiento, segmentación y, en muchos casos, confianza administrativa en una gran parte del entorno», añadió. «Los atacantes lo saben y, cuando encuentran una ruta de autorización previa a esos sistemas, especialmente una que pueda encadenarse a la raíz, es lo más atractivo posible».

La lista completa de vulnerabilidades de Cisco reveladas recientemente que afectan a estos sistemas incluye:

Investigadores de varias empresas y de Cisco han observado o han sido notificados sobre la explotación activa de CVE-2026-20127, CVE-2022-20775, CVE-2026-20122, CVE-2026-20128 y CVE-2026-20131.

La Agencia de Seguridad de Infraestructura y Ciberseguridad solo ha agregado dos de los defectos (CVE-2022-20775 y CVE-2026-20127) a su catálogo de vulnerabilidades explotadas conocidas hasta el momento. La agencia, que la semana pasada agregó nuevos requisitos de caza y presentación de informes a un directiva de emergencia publicó sobre los defectos a finales de febrero, no respondió preguntas sobre el pedido actualizado ni explicó por qué otras vulnerabilidades de Cisco explotadas activamente no se han agregado al catálogo. La agencia ha estado operando bajo un cierre de financiación desde febrero.

El ransomware Interlock ataca los firewalls de Cisco

La campaña de ransomware en curso que Amazon Threat Intelligence detectó que involucraba a CVE-2026-20131 confirmó que «Interlock tenía un día cero en sus manos, lo que les daba una semana de ventaja para comprometer organizaciones antes de que los defensores supieran siquiera mirar», dijeron los investigadores el miércoles.

La ruta de ataque y las operaciones observadas de Interlock son extensas e incluyen scripts de reconocimiento posteriores al compromiso, troyanos de acceso remoto personalizados, un webshell y abuso de herramientas legítimas. Amazon no identificó víctimas específicas y dijo que el grupo amenaza a las organizaciones con cifrado de datos, multas regulatorias y valoraciones de cumplimiento.

«Históricamente, Interlock se ha dirigido a sectores específicos donde la interrupción operativa crea la máxima presión para el pago», dijeron los investigadores de Amazon Threat Intelligence en la publicación del blog. Estos sectores incluyen educación, ingeniería, arquitectura, construcción, manufactura, industria, atención médica y entidades gubernamentales.

4 defectos de Cisco SD-WAN bajo ataque

El enjambre de vulnerabilidades en las SD-WAN de Cisco plantea un riesgo adicional para los clientes. Cisco Talos atribuyó anteriormente ataques de larga duración que involucraron CVE-2026-20127 y CVE-2022-20775 a UAT-8616, pero no está claro si el mismo grupo de amenazas es responsable de todos los exploits de Cisco SD-WAN.

«Es probable que otros grupos de amenazas retomen la investigación pública para convertirla en un arma o adaptarla de manera oportunista, por lo que es posible que veamos intentos de seguimiento por parte de actores de amenazas adicionales, incluidos atacantes poco calificados», Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheckdijo a CyberScoop.

Los investigadores dijeron que las vulnerabilidades a menudo se revelan en grupos después de que se identifica un defecto significativo en un producto específico, como los sistemas SD-WAN de Cisco.

Cisco se negó a responder preguntas y dijo que los clientes pueden encontrar la información más reciente sobre su seguridad. página de avisos.

Condon y McKee señalaron que Cisco ha respondido al lanzamiento de correcciones de software, inteligencia de búsqueda de amenazas y, en el caso de los días cero de SD-WAN, orientación gubernamental coordinada.

“Así es como se supone que debe ser una buena respuesta a la crisis una vez que se identifica la explotación”, dijo McKee.

«La pregunta más difícil es si la industria está obteniendo visibilidad lo suficientemente temprana de los defectos del software de gestión de borde que los actores sofisticados están claramente priorizando», añadió. «¿Están nuestras organizaciones equipadas con las personas y las herramientas adecuadas para realizar este nivel de gestión de exposición?»

Las crecientes vulnerabilidades que los clientes de Cisco están combatiendo en firewalls y SD-WAN son un recordatorio de que las organizaciones no deberían despriorizar las vulnerabilidades menos notorias o aquellas con puntuaciones CVSS más bajas, dijo Condon.

«Varias de las vulnerabilidades explotadas en este tramo de errores de Cisco SD-WAN no tienen puntuaciones CVSS críticas, lo que significa que los equipos que utilizan CVSS como mecanismo de priorización podrían pasar por alto fallas de puntuación media o alta que aún tienen utilidad para el adversario en el mundo real», añadió.

Los ataques también reflejan colectivamente un patrón persistente de atacantes que apuntan a sistemas de borde de red de múltiples proveedores, incluido Cisco.

“Los atacantes continúan tratando el borde de la red y la infraestructura de administración como bienes inmuebles de primera calidad, y cuando los defensores ven fallas en el plano de administración y autenticación previa con evidencia de explotación previa a la divulgación, deben asumir un compromiso, no solo una exposición”, dijo McKee.

«Los atacantes están invirtiendo tiempo y capacidad para encontrar y poner en funcionamiento defectos previamente desconocidos en el borde y la infraestructura de gestión de Cisco porque la recompensa es enorme», añadió. «Estas plataformas le brindan una posición privilegiada, amplia visibilidad y un camino hacia el acceso duradero dentro de organizaciones de alto valor. Es exactamente por eso que siguen siendo atacadas».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el martes agregado cuatro fallas de seguridad en sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa en la naturaleza.

La lista de vulnerabilidades es la siguiente:

• CVE-2026-2441 (Puntuación CVSS: 8,8): una vulnerabilidad de uso después de la liberación en Google Chrome que podría permitir a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML diseñada.
• CVE-2024-7694 (Puntuación CVSS: 7,2) – Un vulnerabilidad de carga de archivos arbitrarios en TeamT5 ThreatSonar Anti-Ransomware versiones 3.4.5 y anteriores que podrían permitir a un atacante cargar archivos maliciosos y lograr la ejecución arbitraria de comandos del sistema en el servidor.
• CVE-2020-7796 (Puntuación CVSS: 9,8): una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Synacor Zimbra Collaboration Suite (ZCS) que podría permitir a un atacante enviar una solicitud HTTP diseñada a un host remoto y obtener acceso no autorizado a información confidencial.
• CVE-2008-0015 (Puntuación CVSS: 8,8): una vulnerabilidad de desbordamiento de búfer basada en pila en el control ActiveX de vídeo de Microsoft Windows que podría permitir a un atacante lograr la ejecución remota de código mediante la configuración de una página web especialmente diseñada.

La adición de CVE-2026-2441 al catálogo KEV se produce días después de que Google reconociera que «existe un exploit para CVE-2026-2441 en la naturaleza». Actualmente no se sabe cómo se está utilizando la vulnerabilidad como arma, pero dicha información generalmente se retiene hasta que la mayoría de los usuarios se actualizan con una solución para evitar que otros actores de amenazas se unan al tren de la explotación.

En cuanto a CVE-2020-7796, un informe publicado por la firma de inteligencia sobre amenazas GreyNoise en marzo de 2025 reveló que un grupo de aproximadamente 400 direcciones IP estaba explotando activamente múltiples vulnerabilidades SSRF, incluida CVE-2020-7796, para atacar instancias susceptibles en EE. UU., Alemania, Singapur, India, Lituania y Japón.

«Cuando un usuario visita una página web que contiene un exploit detectado como Exploit:JS/CVE-2008-0015, puede conectarse a un servidor remoto y descargar otro malware», Microsoft notas en su enciclopedia de amenazas. También dijo que tiene conocimiento de casos en los que el exploit se utiliza para descargar y ejecutar perroun gusano que se propaga a través de unidades extraíbles.

El gusano viene con capacidades para recuperar y ejecutar binarios adicionales, sobrescribir ciertos archivos del sistema, finalizar una larga lista de procesos relacionados con la seguridad e incluso reemplazar el archivo Hosts de Windows en un intento de evitar que los usuarios accedan a sitios web asociados con programas de seguridad.

Actualmente no está claro cómo se explota la vulnerabilidad TeamT5 ThreatSonar Anti-Ransomware. Se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones necesarias antes del 10 de marzo de 2026 para una protección óptima.

Actualizar

en un publicación de seguimiento Publicado el 22 de febrero de 2026, TeamT5 dijo que la vulnerabilidad se relaciona con un problema identificado en 2024 y que desde entonces todos los clientes afectados han migrado desde versiones vulnerables de su producto ThreatSonar Anti-Ransomware.

La compañía de seguridad taiwanesa dijo que desde entonces ha mejorado su ciclo de vida de desarrollo de software seguro y sus controles de seguridad de productos, así como procesos estandarizados de respuesta a incidentes internos y gestión de vulnerabilidades.

(La historia se actualizó después de la publicación para incluir detalles de TeamT5).