Cisco Catalyst SD-WAN Manager: fallos explotados en el corazón de la red
Resumen rápido
CISA ha añadido varias vulnerabilidades de Cisco Catalyst SD-WAN Manager a su catálogo de explotados activamente, una de ellas permite ejecutar comandos como root. Comprometer este componente es comprometer la columna vertebral de la red.
La infraestructura de red es un objetivo silencioso pero devastador, y Cisco Catalyst SD-WAN Manager (antes SD-WAN vManage) lo está sufriendo. CISA ha sumado a su catálogo de vulnerabilidades explotadas activamente varios fallos de este producto en las últimas semanas, entre ellos CVE-2026-20245, una vulnerabilidad de codificación/escapado incorrecto de la salida que permite a un atacante autenticado ejecutar comandos arbitrarios como root subiendo un fichero manipulado, y CVE-2026-20262, un path traversal.
¿Por qué es tan grave? Porque SD-WAN Manager es el cerebro que orquesta toda la red definida por software de una organización: política, enrutado, segmentación. Un atacante con control sobre él puede redirigir tráfico, desactivar controles, abrir caminos hacia segmentos internos y moverse con una cobertura de "administrador legítimo" que hace su actividad muy difícil de distinguir del trabajo normal de IT.
Como siempre con los equipos de infraestructura, el parcheo es prioritario pero lento: estos componentes son críticos, tienen ventanas de mantenimiento estrechas y muchas organizaciones tardan semanas en actualizar. Ese hueco entre "vulnerable conocido" y "parcheado" es justo donde hay que tener visibilidad.
¿Estás cubierto en DefensOps?
Un compromiso de infraestructura de red no deja huella en un endpoint: deja huella en el tráfico. Por eso DefensOps no depende solo de agentes:
- NDR con Zeek y Suricata (reglas 112xxx) observa la red de forma independiente del equipo comprometido: accesos administrativos anómalos, transferencias de datos inusuales, escaneo interno y movimiento lateral tras el compromiso (MITRE T1190, T1210, T1135).
- Correlación con Community ID entre Zeek y Suricata para encadenar el mismo flujo visto por dos sensores y reducir falsos positivos.
- El análisis con IA de la cadena de ataque (Professional y Enterprise) conecta el acceso al SD-WAN Manager con lo que pasa después en la red y lo presenta como una sola historia.
Tus equipos Cisco son críticos y tardas en parchear. Mientras tanto, ¿quién mira el tráfico? Pide una demo. → Ver planes y pedir demo
Fuente: Catálogo CISA KEV (Cisco Catalyst SD-WAN Manager) · Advisory de Cisco (cisco-sa-sdwan-privesc) · NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-20245
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Professional.
Técnicas MITRE ATT&CK: T1190, T1059, T1078, T1556
- Explotación de gestor de infraestructura de red · T1190 — Exploit Public-Facing Application · regla 111905 · plan Professional
- Autenticación administrativa anómala en plano de control SD-WAN · T1078 — Valid Accounts · regla 111911 · plan Professional
- Ejecución remota de comandos en appliance Cisco · T1059 — Command and Scripting Interpreter · regla 111916 · plan Enterprise
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.