Control total, toma de redes y elusión de contraseñas: dos vulnerabilidades críticas comprometen equipos de Cisco en todo el mundo
Esta vez la situación es tan grave que EE. UU. emitió una directiva de emergencia.
Los ataques contra el equipo de red de Cisco resultaron tan graves que las autoridades de EE. UU. activaron un régimen especial. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió una directiva de emergencia, obligatoria para todas las agencias federales civiles.
El documento se basa en normas de la legislación estadounidense que permiten al Departamento de Seguridad Nacional, ante una amenaza real, exigir actuaciones inmediatas a las agencias. Este poder se ha conferido al director de la CISA, y las entidades federales están obligadas a cumplir tales órdenes. La única excepción son los sistemas de seguridad nacional y las redes de las fuerzas militares y de inteligencia.
En la directiva la CISA indica la explotación continua de vulnerabilidades en Cisco Catalyst SD-WAN Manager y Cisco Catalyst SD-WAN Controller. Se trata de la CVE-2026-20127, que permite eludir de forma remota la autenticación y obtener privilegios administrativos, y de la CVE-2022-20775, mediante la cual un atacante puede elevar privilegios a root y ejecutar comandos arbitrarios.
La agencia exigió, en una secuencia estricta, identificar todos los sistemas afectados, recopilar registros y artefactos técnicos, verificarlos en busca de indicios de intrusión, instalar las actualizaciones antes del 27 de febrero de 2026 y presentar informes sobre el trabajo realizado en varias fases hasta mediados de marzo. Si se detecta la toma de control de la cuenta root, se ordena notificar inmediatamente a la CISA y desplegar nuevas instancias de los componentes de gestión a partir de imágenes corregidas.
Paralelamente, la advertencia fue publicada por el Centro Nacional de Ciberseguridad del Reino Unido (NCSC). En un documento conjunto con socios de Canadá, Nueva Zelanda, el Reino Unido y EE. UU. se indica que atacantes en todo el mundo están comprometiendo Cisco Catalyst SD-WAN al añadir a la infraestructura un nodo falso. Ese nodo suplantador de la red obtiene la capacidad de realizar acciones de confianza, alcanzar privilegios root y permanecer en el sistema durante largo tiempo.
Al aviso conjunto también se sumó la Agencia de Inteligencia de Señales de Australia. El organismo publicó una guía técnica que ayuda a determinar si los atacantes han penetrado la infraestructura. Según el documento, al menos un atacante aprovechó una vulnerabilidad de día cero en entornos Cisco SD-WAN desde 2023. La vulnerabilidad de día cero se detectó solo a finales de 2025 y ya fue corregida.
Los autores del aviso instaron a las organizaciones a revisar con urgencia sus redes en busca de signos de compromiso, instalar las últimas versiones del software y aplicar las recomendaciones para reforzar la protección. Se enfatiza de manera especial que las interfaces de gestión de SD-WAN no deben estar accesibles desde internet, ya que son esas configuraciones las que están en mayor riesgo. Las agencias no identifican grupos concretos detrás de los ataques.