Privilegios root de regalo: Cisco confirma que las nuevas vulnerabilidades se están explotando masivamente
Se han detectado varias vulnerabilidades graves en el software de Cisco para la gestión de redes SD-WAN. Algunos problemas ya se están explotando en ataques reales, por lo que se aconseja a los propietarios de los dispositivos que instalen las actualizaciones cuanto antes.
Cisco ha publicado un aviso sobre varias vulnerabilidades en el sistema de gestión Cisco Catalyst SD-WAN Manager (anteriormente el producto se llamaba SD-WAN vManage). Las fallas de seguridad permiten a un atacante acceder al sistema, elevar privilegios hasta root, leer datos confidenciales y sobrescribir archivos arbitrarios. La puntuación máxima en la escala CVSS alcanza 9,8.
Una de las vulnerabilidades más peligrosas recibe el identificador CVE-2026-20129. El fallo está relacionado con una verificación incorrecta de autenticidad al acceder a la interfaz de programación de aplicaciones (API). Un atacante puede enviar una solicitud especialmente diseñada y obtener acceso al sistema sin autorización con los privilegios del usuario netadmin. Tras ese acceso, el atacante podrá ejecutar comandos en el sistema.
La vulnerabilidad CVE-2026-20126 permite elevar privilegios hasta root. Un atacante con privilegios mínimos puede enviar una solicitud a la API REST y obtener el control total del sistema operativo del dispositivo.
Otro problema, CVE-2026-20133, está relacionado con restricciones de acceso incorrectas al sistema de archivos. Mediante la API, un atacante remoto sin autorización puede leer datos confidenciales en el dispositivo.
La vulnerabilidad CVE-2026-20122 permite sobrescribir archivos arbitrarios en el sistema. Para el ataque basta con una cuenta con permiso de solo lectura y acceso a la API. El atacante puede cargar un archivo malicioso y modificar el contenido del sistema de archivos, obteniendo los privilegios del usuario vmanage.
La quinta vulnerabilidad, CVE-2026-20128, está relacionada con la función del agente de recopilación de datos. En el sistema se almacena un archivo con las credenciales del usuario DCA. Un usuario con bajos privilegios puede leer la contraseña del archivo y luego usar esa cuenta para acceder a otros componentes de la red SD-WAN.
En marzo de 2026, el equipo de respuesta a incidentes de seguridad de Cisco informó sobre la explotación activa de las vulnerabilidades CVE-2026-20128 y CVE-2026-20122. Para las demás vulnerabilidades aún no se han detectado indicios de ataques.
Se han publicado ya correcciones. La empresa no ofrece soluciones alternativas. Se aconseja a los responsables de la infraestructura Cisco Catalyst SD-WAN Manager que actualicen el software a las versiones corregidas cuanto antes.