La infraestructura de red es un objetivo silencioso pero devastador, y Cisco Catalyst SD-WAN Manager (antes SD-WAN vManage) lo está sufriendo. CISA ha sumado a su catálogo de vulnerabilidades explotadas activamente varios fallos de este producto en las últimas semanas, entre ellos CVE-2026-20245, una vulnerabilidad de codificación/escapado incorrecto de la salida que permite a un atacante autenticado ejecutar comandos arbitrarios como root subiendo un fichero manipulado, y CVE-2026-20262, un path traversal.

¿Por qué es tan grave? Porque SD-WAN Manager es el cerebro que orquesta toda la red definida por software de una organización: política, enrutado, segmentación. Un atacante con control sobre él puede redirigir tráfico, desactivar controles, abrir caminos hacia segmentos internos y moverse con una cobertura de "administrador legítimo" que hace su actividad muy difícil de distinguir del trabajo normal de IT.

Compromiso del SD-WAN Manager
Controlar el cerebro de la red da al atacante cobertura de administrador legítimo para moverse por los segmentos internos.

Como siempre con los equipos de infraestructura, el parcheo es prioritario pero lento: estos componentes son críticos, tienen ventanas de mantenimiento estrechas y muchas organizaciones tardan semanas en actualizar. Ese hueco entre "vulnerable conocido" y "parcheado" es justo donde hay que tener visibilidad.

¿Estás cubierto en DefensOps?

Un compromiso de infraestructura de red no deja huella en un endpoint: deja huella en el tráfico. Por eso DefensOps no depende solo de agentes:

  • NDR con Zeek y Suricata (reglas 112xxx) observa la red de forma independiente del equipo comprometido: accesos administrativos anómalos, transferencias de datos inusuales, escaneo interno y movimiento lateral tras el compromiso (MITRE T1190, T1210, T1135).
  • Correlación con Community ID entre Zeek y Suricata para encadenar el mismo flujo visto por dos sensores y reducir falsos positivos.
  • El análisis con IA de la cadena de ataque (Professional y Enterprise) conecta el acceso al SD-WAN Manager con lo que pasa después en la red y lo presenta como una sola historia.

Tus equipos Cisco son críticos y tardas en parchear. Mientras tanto, ¿quién mira el tráfico? Pide una demo.Ver planes y pedir demo

Fuente: Catálogo CISA KEV (Cisco Catalyst SD-WAN Manager) · Advisory de Cisco (cisco-sa-sdwan-privesc) · NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-20245