{"id":60,"date":"2026-02-26T18:49:34","date_gmt":"2026-02-26T18:49:34","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/26\/cisco-sd-wan-zero-day-cve-2026-20127-explotado-desde-2023-para-acceso-de-administrador-cyberdefensa-mx\/"},"modified":"2026-02-26T18:49:34","modified_gmt":"2026-02-26T18:49:34","slug":"cisco-sd-wan-zero-day-cve-2026-20127-explotado-desde-2023-para-acceso-de-administrador-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/26\/cisco-sd-wan-zero-day-cve-2026-20127-explotado-desde-2023-para-acceso-de-administrador-cyberdefensa-mx\/","title":{"rendered":"Cisco SD-WAN Zero-Day CVE-2026-20127 explotado desde 2023 para acceso de administrador \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Una falla de seguridad de m\u00e1xima gravedad recientemente revelada en Cisco Catalyst SD-WAN Controller (anteriormente vSmart) y Catalyst SD-WAN Manager (anteriormente vManage) ha sido objeto de explotaci\u00f3n activa en la naturaleza como parte de una actividad maliciosa que se remonta a 2023.<\/p>\n<p>La vulnerabilidad, rastreada como <strong>CVE-2026-20127<\/strong> (Puntuaci\u00f3n CVSS: 10.0), permite a un atacante remoto no autenticado eludir la autenticaci\u00f3n y obtener privilegios administrativos en el sistema afectado enviando una solicitud dise\u00f1ada a un sistema afectado.<\/p>\n<p>La explotaci\u00f3n exitosa de la falla podr\u00eda permitir al adversario obtener privilegios elevados en el sistema como una cuenta de usuario interna, no root y con altos privilegios.<\/p>\n<p>\u00abEsta vulnerabilidad existe porque el mecanismo de autenticaci\u00f3n de peering en un sistema afectado no funciona correctamente\u00bb, Cisco <a href=\"https:\/\/sec.cloudapps.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-sdwan-rpa-EHchtZk\" rel=\"noopener\" target=\"_blank\">dicho<\/a> En un aviso, agregar el actor de amenazas podr\u00eda aprovechar la cuenta de usuario no root para acceder a NETCONF y manipular la configuraci\u00f3n de red para la estructura SD-WAN. <\/p>\n<p>La deficiencia afecta a los siguientes tipos de implementaci\u00f3n, independientemente de la configuraci\u00f3n del dispositivo:<\/p>\n<ul>\n<li>Implementaci\u00f3n local<\/li>\n<li>Nube SD-WAN alojada en Cisco<\/li>\n<li>Nube SD-WAN alojada en Cisco: administrada por Cisco<\/li>\n<li>Nube SD-WAN alojada en Cisco: entorno FedRAMP<\/li>\n<\/ul>\n<p>Cisco le dio cr\u00e9dito al Centro Australiano de Seguridad Cibern\u00e9tica (ASD-ACSC) de la Direcci\u00f3n Australiana de Se\u00f1ales por informar sobre la vulnerabilidad. El especialista en equipos de redes est\u00e1 rastreando la explotaci\u00f3n y la posterior actividad posterior al compromiso bajo el apodo. <a href=\"https:\/\/blog.talosintelligence.com\/uat-8616-sd-wan\/\" rel=\"noopener\" target=\"_blank\">UAT-8616<\/a>describiendo el cl\u00faster como un \u00abactor de amenazas cibern\u00e9ticas altamente sofisticado\u00bb.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/sse-customer-awards-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEg5Ij_-TeqFMEsRFzgRRFzSRlVK6oHCncN_eJ2fkOdsA_1tN9HQbAlEEife2Z2JUt1lPv4st5n9KZP84jGEYY9Up6BQ7QE-N5rs6OhzL5thxGzVxnMx3JH9cGRLi9S5Kl-iV5PgjBeTdkBLnv_inF8UUAo88iqdmgJuPIc_6qiPyUMXwFyZWbZvkZkcRXSw\/s728-e100\/gartner-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>La vulnerabilidad se ha solucionado en las siguientes versiones de Cisco Catalyst SD-WAN:<\/p>\n<ul>\n<li>Antes de la versi\u00f3n 20.91: migre a una versi\u00f3n fija.<\/li>\n<li>Versi\u00f3n 20.9 \u2013 20.9.8.2 (lanzamiento estimado para el 27 de febrero de 2026)<\/li>\n<li>Versi\u00f3n 20.111 \u2013 20.12.6.1<\/li>\n<li>Versi\u00f3n 20.12.5 \u2013 20.12.5.3<\/li>\n<li>Versi\u00f3n 20.12.6 \u2013 20.12.6.1<\/li>\n<li>Versi\u00f3n 20.131 \u2013 20.15.4.2<\/li>\n<li>Versi\u00f3n 20.141 \u2013 20.15.4.2<\/li>\n<li>Versi\u00f3n 20.15 \u2013 20.15.4.2<\/li>\n<li>Versi\u00f3n 20.161 \u2013 20.18.2.1<\/li>\n<li>Versi\u00f3n 20.18 \u2013 20.18.2.1<\/li>\n<\/ul>\n<p>\u00abLos sistemas Cisco Catalyst SD-WAN Controller que est\u00e1n expuestos a Internet y que tienen puertos expuestos a Internet corren el riesgo de verse comprometidos\u00bb, advirti\u00f3 Cisco.<\/p>\n<p>La compa\u00f1\u00eda tambi\u00e9n recomend\u00f3 a los clientes que auditen el archivo \u00ab\/var\/log\/auth.log\u00bb en busca de entradas relacionadas con la \u00abClave p\u00fablica aceptada para vmanage-admin\u00bb de direcciones IP desconocidas o no autorizadas. Tambi\u00e9n se recomienda verificar las direcciones IP en el archivo de registro auth.log con las IP del sistema configuradas que se enumeran en la interfaz de usuario web de Cisco Catalyst SD-WAN Manager (WebUI &gt; Dispositivos &gt; IP del sistema).<\/p>\n<p>Seg\u00fan la informaci\u00f3n publicada por ASD-ACSC, se dice que UAT-8616 ha comprometido las SD-WAN de Cisco desde 2023 a trav\u00e9s del exploit de d\u00eda cero, lo que le permite obtener un acceso elevado.<\/p>\n<p>\u00abLa vulnerabilidad permiti\u00f3 a un actor cibern\u00e9tico malicioso crear un par deshonesto unido al plano de gesti\u00f3n de red, o plano de control, de la SD-WAN de una organizaci\u00f3n\u00bb, dijo ASD-ACSC. \u00abEl dispositivo fraudulento aparece como un componente SD-WAN nuevo pero temporal, controlado por un actor, que puede realizar acciones confiables dentro del plano de gesti\u00f3n y control\u00bb.<\/p>\n<p>Despu\u00e9s de comprometer con \u00e9xito una aplicaci\u00f3n p\u00fablica, se descubri\u00f3 que los atacantes aprovechan el mecanismo de actualizaci\u00f3n incorporado para realizar una degradaci\u00f3n de la versi\u00f3n del software y escalarla al usuario ra\u00edz mediante la explotaci\u00f3n. <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2022-20775\" rel=\"noopener\" target=\"_blank\">CVE-2022-20775<\/a> (Puntuaci\u00f3n CVSS: 7,8), un error de escalada de privilegios de alta gravedad en la CLI del software Cisco SD-WAN y luego restaurar el software a la versi\u00f3n que se estaba ejecutando originalmente.<\/p>\n<p>Algunos de los pasos posteriores iniciados por el actor de amenazas son los siguientes:<\/p>\n<ul>\n<li>Cre\u00e9 cuentas de usuarios locales que imitaban otras cuentas de usuarios locales.<\/li>\n<li>Se agreg\u00f3 una clave autorizada del Protocolo Secure Shell (SSH) para acceso ra\u00edz y se modificaron los scripts de inicio relacionados con SD-WAN para personalizar el entorno.<\/li>\n<li>Se utiliz\u00f3 el protocolo de configuraci\u00f3n de red en el puerto 830 (NETCONF) y SSH para conectarse a\/entre dispositivos Cisco SD-WAN dentro del plano de administraci\u00f3n.<\/li>\n<li>Se tomaron medidas para eliminar la evidencia de la intrusi\u00f3n eliminando los registros en \u00ab\/var\/log\u00bb, el historial de comandos y el historial de conexiones de red.<\/li>\n<\/ul>\n<p>\u00abEl intento de explotaci\u00f3n de UAT-8616 indica una tendencia continua de apuntar a dispositivos de borde de red por parte de actores de amenazas cibern\u00e9ticas que buscan establecer puntos de apoyo persistentes en organizaciones de alto valor, incluidos los sectores de infraestructura cr\u00edtica (CI)\u00bb, dijo Talos.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ztw-hands-on-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhC66R4wPZ8qksTJukqlCCmrHCUX65DnpWW1nKnkOhy0Poe219tacbU6h09qEfUgRHxoObBazf3SVJ4OAd_iVd0EFecj-vskZSfroQ7rh0XyxQd6Ep_zNgqDW95YU4zG1Gpin8rHPK8Rqu_1KV7tf-G-7JJhxOVHhRJDWnj0qfq82uZSAvAG2rxK-Fe5fwd\/s728-e100\/ThreatLocker-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) a <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2026\/02\/25\/cisa-adds-two-known-exploited-vulnerabilities-catalog\" rel=\"noopener\" target=\"_blank\">agregar<\/a> tanto CVE-2022-20775 como CVE-2026-20127 a sus vulnerabilidades explotadas conocidas (<a href=\"https:\/\/www.cisa.gov\/known-exploited-vulnerabilities-catalog\" rel=\"noopener\" target=\"_blank\">KEV<\/a>), ordenando a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones dentro de las pr\u00f3ximas 24 horas.<\/p>\n<p>Para comprobar si hay una degradaci\u00f3n de la versi\u00f3n y eventos de reinicio inesperados, CISA <a href=\"https:\/\/www.cisa.gov\/news-events\/directives\/supplemental-direction-ed-26-03-hunt-and-hardening-guidance-cisco-sd-wan-systems\" rel=\"noopener\" target=\"_blank\">recomienda<\/a> analizando los siguientes registros \u2013<\/p>\n<ul>\n<li>\/var\/volatile\/log\/vdebug<\/li>\n<li>\/var\/log\/tmplog\/vdebug<\/li>\n<li>\/var\/volatile\/log\/sw_script_synccdb.log <\/li>\n<\/ul>\n<p>CISA tambi\u00e9n ha <a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2026\/02\/25\/cisa-and-partners-release-guidance-ongoing-global-exploitation-cisco-sd-wan-systems\" rel=\"noopener\" target=\"_blank\">emitido<\/a> una nueva directiva de emergencia, <a href=\"https:\/\/www.cisa.gov\/news-events\/directives\/ed-26-03-mitigate-vulnerabilities-cisco-sd-wan-systems\" rel=\"noopener\" target=\"_blank\">26-03: Mitigar las vulnerabilidades en los sistemas Cisco SD-WAN<\/a>como parte del cual las agencias federales deben inventariar los dispositivos SD-WAN, aplicar actualizaciones y evaluar posibles compromisos.<\/p>\n<p>Con ese fin, se orden\u00f3 a las agencias que proporcionen un cat\u00e1logo de todos los sistemas SD-WAN incluidos en sus redes antes del 26 de febrero de 2026 a las 11:59 p. m., hora del Este. Adem\u00e1s, deben enviar un inventario detallado de todos los productos incluidos y las acciones tomadas antes del 5 de marzo de 2026 a las 11:59 p. m., hora del Este. Por \u00faltimo, las agencias deber\u00e1n presentar la lista de todos los pasos tomados para reforzar sus entornos antes del 26 de marzo de 2026 a las 11:59 p. m., hora del Este.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Una falla de seguridad de m\u00e1xima gravedad recientemente revelada en Cisco Catalyst SD-WAN Controller (anteriormente vSmart) y Catalyst SD-WAN Manager (anteriormente vManage) ha sido objeto de explotaci\u00f3n activa en la naturaleza como parte de una actividad maliciosa que se remonta a 2023. La vulnerabilidad, rastreada como CVE-2026-20127 (Puntuaci\u00f3n CVSS: 10.0), permite a un atacante remoto [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":55,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25],"tags":[68,69,62,65,24,67,66,36,63,64],"class_list":["post-60","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","tag-acceso","tag-administrador","tag-cisco","tag-cve202620127","tag-cyberdefensa-mx","tag-desde","tag-explotado","tag-para","tag-sdwan","tag-zeroday"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/60","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=60"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/60\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/55"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=60"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=60"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=60"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}