CVE-2026-20245: escalada a root en Cisco SD-WAN ya explotada
Resumen rápido
Una vulnerabilidad de inyección de comandos en la CLI de los componentes principales de Cisco Catalyst SD-WAN permite a un atacante local autenticado con privilegios netadmin ejecutar código arbitrario como root. Cisco ha confirmado casos de explotación activa en los que el compromiso derivó en cambios de configuración propagados a dispositivos de borde. El CVE tiene una puntuación CVSS de 7.8 (HIGH) y está incluido en el catálogo de vulnerabilidades conocidas y explotadas de CISA.
Inyección de comandos en Cisco Catalyst SD-WAN: raíz del problema
Cisco ha publicado un aviso de seguridad para CVE-2026-20245, una vulnerabilidad crítica de inyección de comandos que afecta a tres componentes clave de su plataforma Catalyst SD-WAN: el SD-WAN Manager (antes vManage), el SD-WAN Controller (antes vSmart) y el SD-WAN Validator (antes vBond).
¿Cómo funciona el ataque?
El fallo se origina en una validación insuficiente de la entrada suministrada por el usuario a través de la interfaz de línea de comandos (CLI). Un atacante puede aprovechar esta debilidad cargando un archivo especialmente manipulado en el sistema afectado. Si la operación tiene éxito, consigue ejecutar comandos arbitrarios con privilegios de root, obteniendo control total sobre el componente comprometido.
El vector de ataque es local (AV:L), lo que significa que el adversario debe tener acceso previo al sistema. Concretamente, Cisco especifica que se requieren privilegios netadmin, que pueden obtenerse mediante credenciales válidas o encadenando esta vulnerabilidad con otros fallos previos. La puntuación CVSS 3.1 de 7.8 (HIGH) refleja el alto impacto sobre confidencialidad, integridad y disponibilidad una vez que se consigue la ejecución como root.
La debilidad subyacente está catalogada como CWE-116 (codificación o escape inadecuado de la salida), lo que indica que el sistema no neutraliza correctamente ciertos caracteres o secuencias antes de procesarlos como comandos del sistema operativo.
Explotación activa y consecuencias reales
Lo que convierte este CVE en un asunto urgente es que Cisco ha confirmado casos limitados de explotación real en el entorno de producción de sus clientes. Según la propia compañía, en algunos de esos incidentes la intrusión no se limitó al componente comprometido: los atacantes consiguieron empujar cambios de configuración a los dispositivos de borde gestionados por la plataforma, lo que amplía significativamente el radio de daño potencial.
CISA ha añadido CVE-2026-20245 a su catálogo de Known Exploited Vulnerabilities (KEV), lo que implica que las agencias federales estadounidenses están obligadas a parchear en plazo definido, y que la comunidad de seguridad considera la amenaza suficientemente documentada como para actuar de inmediato.
Parche disponible desde el 14 de mayo de 2026
Cisco publicó el advisory con las versiones corregidas el 14 de mayo de 2026. La compañía recomienda actualizar al software indicado en el aviso y, adicionalmente, revisar la configuración de los dispositivos de borde para detectar posibles modificaciones no autorizadas introducidas durante la ventana de exposición.
No existe ninguna mitigación alternativa documentada que sustituya a la actualización: el camino recomendado es la aplicación del parche.
Recomendaciones operativas
- Priorizar el parcheado de todos los nodos SD-WAN Manager, Controller y Validator expuestos.
- Auditar los logs de CLI en busca de subidas de ficheros inusuales o comandos ejecutados con contexto de root en fechas recientes.
- Revisar la configuración de los dispositivos de borde gestionados por la plataforma para identificar cambios que no correspondan a actividad legítima.
- Limitar el acceso netadmin al mínimo número de cuentas necesarias y habilitar autenticación multifactor donde sea posible.
- Verificar que las cuentas con privilegios elevados no estén expuestas en segmentos de red accesibles desde zonas no confiables.
¿Estás cubierto en DefensOps?
DefensOps puede ayudarte a detectar actividad anómala relacionada con CVE-2026-20245 desde el plan Essential mediante su motor de correlación genérico, que cruza eventos de autenticación, subida de ficheros sospechosos y ejecuciones de comandos privilegiados en tus sistemas Cisco SD-WAN para generar alertas tempranas, incluso antes de que existan firmas específicas.
Si quieres ver cómo se integra con tu infraestructura SD-WAN y qué visibilidad real ofrece sobre este tipo de amenazas, consulta nuestros planes o solicita una demo en la página de precios de DefensOps.
Fuentes y referencias:
- Mandiant / BleepingComputer — análisis de los ataques: https://www.bleepingcomputer.com/news/security/mandiant-reveals-how-cisco-sd-wan-zero-day-attacks-gained-root-access/
- Cisco Security Advisory (escalada de privilegios): https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx
- Cisco Security Advisory (RPA2): https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW
- CISA KEV: https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-20245
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
- Cobertura genérica vía motor de correlación · plan Essential
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.