«Uno de los nuestros» entre extraños: cómo los atacantes infiltran nodos falsos en sistemas Cisco y pasan desapercibidos
Guía para quienes confían en los ajustes de fábrica.
Cisco advirtió sobre ataques en curso en los que actores maliciosos explotan vulnerabilidades en el sistema de gestión de red Catalyst SD-WAN Manager. La compañía instó a los administradores a actualizar el software de los dispositivos vulnerables lo antes posible.
Catalyst SD-WAN Manager, anteriormente conocida como vManage, funciona como la plataforma central de administración de la red. El sistema permite gestionar y supervisar hasta 6000 dispositivos Catalyst SD-WAN desde un único panel de control.
El equipo de Cisco informó que en marzo de 2026 detectó la explotación activa de dos vulnerabilidades — CVE-2026-20122 y CVE-2026-20128. La advertencia actualizada complementó el aviso consultivo que la compañía publicó el 25 de febrero.
Según Cisco, los atacantes por ahora solo han utilizado esas dos fallas, mientras que otras vulnerabilidades mencionadas en el mismo aviso no muestran indicios de explotación. La empresa recomienda instalar las versiones actualizadas del software que corrigen los problemas detectados.
La primera vulnerabilidad, CVE-2026-20122, fue catalogada con un nivel de gravedad alto. La falla permite sobrescribir archivos de forma arbitraria. Para el ataque se requiere acceso remoto y una cuenta con permisos de lectura y la capacidad para operar con la API. El segundo problema — CVE-2026-20128 — es de gravedad media y revela información de servicio. Su explotación requiere acceso local y una cuenta activa de vManage. Cisco subraya que las vulnerabilidades afectan a Catalyst SD-WAN Manager independientemente de la configuración de los dispositivos.
La compañía ya había informado antes sobre ataques a la infraestructura SD-WAN. A finales de febrero, Cisco reconoció la explotación de otra falla — CVE-2026-20127. La vulnerabilidad de omisión de autenticación permitía a los atacantes apoderarse de los controladores de la red y añadir nodos falsos a la infraestructura. Esos dispositivos se hacen pasar por elementos legítimos de la red y ayudan a los atacantes a avanzar más profundamente en la infraestructura. Según Cisco, operaciones similares se realizan al menos desde 2023.
También divulgaron información sobre los ataques organismos gubernamentales de EE. UU. y del Reino Unido. La agencia CISA publicó la directiva de emergencia 26-03. Las agencias federales de Estados Unidos fueron instruidas a inventariar los sistemas Cisco SD-WAN, recopilar datos forenses, instalar las actualizaciones y revisar la infraestructura en busca de signos de compromiso.
Además, Cisco publicó recientemente parches para otras dos vulnerabilidades críticas en Secure Firewall Management Center. Las fallas CVE-2026-20079 y CVE-2026-20131 permiten a un atacante remoto sin autenticación obtener permisos root en el sistema operativo o ejecutar código Java arbitrario en dispositivos no actualizados.