Falha crítica no Cisco Catalyst SD-WAN Manager está sob ataque ativo e ainda não tem correção disponível, elevando o nível de alerta em ambientes corporativos que dependem da plataforma para orquestrar redes de longa distância definidas por software. A vulnerabilidade, identificada como CVE-2026-20245, recebeu pontuação 7,8 no sistema CVSS, o que a coloca na faixa de alta severidade, e impacta diversos modelos de implantação da solução: desde instalações on-premises até ofertas em nuvem, incluindo Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud gerenciado pela própria fabricante e a versão Cisco SD-WAN for Government, voltada para ambientes que seguem exigências FedRAMP.
De acordo com o comunicado oficial da empresa, o problema está localizado na interface de linha de comando (CLI) do Cisco Catalyst SD-WAN Manager, produto anteriormente conhecido como SD-WAN vManage. Em cenários específicos, um usuário local autenticado pode enviar ao sistema um arquivo especialmente manipulado e, com isso, executar comandos arbitrários com privilégios de root, o nível máximo de administração em sistemas baseados em Linux e Unix.
A origem da vulnerabilidade está em uma validação deficiente de dados fornecidos pelo usuário. Em termos práticos, isso abre espaço para que um atacante com acesso apropriado ao ambiente envie um arquivo malicioso, explore a falha de validação, injete comandos na CLI e, a partir daí, realize uma escalada de privilégios até assumir o controle como root. Uma vez em posse desse nível de acesso, o invasor pode alterar configurações, implantar backdoors, manipular políticas de rede e, em alguns cenários, mover-se lateralmente para outros ativos sensíveis.
Apesar da gravidade, a Cisco destaca um ponto importante: explorar a CVE-2026-20245 não é algo trivial, pois exige que o atacante tenha privilégios de netadmin no sistema afetado. Para alcançar esse patamar de acesso, o invasor precisa já possuir credenciais válidas de um usuário com esse perfil ou ter explorado previamente outras vulnerabilidades na mesma plataforma, em especial as falhas CVE-2026-20182 ou CVE-2026-20127. Segundo a companhia, até o momento não há evidências de que criminosos tenham conseguido contornar essa exigência de privilégio inicial por outros meios inéditos.
A CVE-2026-20182, que recebeu nota máxima 10,0 no CVSS, foi revelada recentemente por pesquisadores e classificada como uma vulnerabilidade de bypass de autenticação. Ela permite que um atacante remoto, sem qualquer credencial, obtenha privilégios administrativos completos em instâncias vulneráveis do SD-WAN Manager. Essa falha guarda semelhanças diretas com a CVE-2026-20127, outro bypass de autenticação que atinge o mesmo componente crítico da plataforma.
Ambas as vulnerabilidades anteriores já foram usadas em ataques reais como zero-days, ou seja, exploradas antes da disponibilização de correções. A atividade maliciosa em torno da CVE-2026-20127 foi atribuída a um cluster de ameaça identificado como UAT-8616, que estaria explorando a brecha desde 2023. Esse histórico faz com que a preocupação com a nova CVE-2026-20245 seja ainda maior, pois ela pode ser combinada com falhas de autenticação para formar uma cadeia de ataque poderosa: primeiro o invasor obtém acesso administrativo via bypass de autenticação e, em seguida, aproveita a nova falha para realizar ações com privilégios de root e consolidar o controle da infraestrutura.
No alerta mais recente, a Cisco informou que já observou alguns casos, ainda considerados limitados, em que a exploração da CVE-2026-20245 resultou no envio de alterações de configuração para dispositivos de borda. Esse tipo de impacto é particularmente crítico porque o Catalyst SD-WAN Manager funciona como o cérebro da infraestrutura SD-WAN, centralizando o gerenciamento de políticas, rotas, segmentação e parâmetros de segurança que são posteriormente distribuídos a appliances espalhados pela rede corporativa. Qualquer comprometimento desse componente pode se refletir em mudanças em larga escala, afetando a disponibilidade, a integridade e a confidencialidade do tráfego corporativo.
A vulnerabilidade foi identificada e reportada por pesquisadores da Google Mandiant: Chester Sng, Pete Boonyakarn e Logeswaran Nadarajan. Até agora não há informações concretas sobre quem está conduzindo as tentativas de exploração mais recentes, tampouco se os ataques são direcionados a setores específicos. A ausência de atribuição clara sugere que a falha pode estar sendo testada por diferentes grupos, seja com fins de espionagem, crime financeiro ou preparação de operações futuras.
O aspecto mais preocupante do caso é que, até o momento, não existe patch ou correção oficial para a CVE-2026-20245. Também não foram anunciadas mitigações técnicas específicas, como desativação de módulos ou aplicação de regras de configuração que eliminem diretamente o vetor de exploração. Diante desse cenário, a recomendação principal da Cisco é que os clientes garantam, com urgência, a aplicação das atualizações lançadas em 14 de maio de 2026 para corrigir a CVE-2026-20182 e demais vulnerabilidades críticas no SD-WAN Manager, reduzindo assim a probabilidade de que um invasor consiga chegar ao nível de privilégios necessário para abusar da falha recém-divulgada.
A fabricante também reforça que instâncias do SD-WAN Manager expostas diretamente à internet se encontram sob risco muito maior de comprometimento. A orientação é restringir ao máximo o acesso remoto, priorizando o uso de VPNs, listas de controle de acesso rigorosas, segmentação de rede e, idealmente, mantendo a interface de gerenciamento acessível apenas a partir de redes internas ou saltos de administração bastante controlados.
Para investigar sinais de invasão, administradores são instruídos a revisar o arquivo de log “/var/log/scripts.log” em busca de entradas suspeitas relacionadas à execução de scripts via CLI e ao upload de arquivos. A Cisco cita como exemplos linhas associadas ao envio de listas de tenants por número de série vSmart, upload de números de série vSmart e upload de números de chassi usados em processos de Zero Touch Provisioning (ZTP). Em um dos cenários demonstrados, aparece o uso de um arquivo denominado “malicious.csv”, hospedado no diretório “/home/admin/”, sendo referenciado em uma chamada ao script “vconfd_script_upload_tenant_list.sh” – um padrão que pode indicar tentativa de exploração.
A CVE-2026-20245 já é a sétima vulnerabilidade relacionada ao ecossistema Cisco SD-WAN marcada como explorada ativamente apenas neste ano. Antes dela, foram destacados incidentes envolvendo as falhas CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 e a mais antiga CVE-2022-20775. Esse acúmulo de problemas em um período relativamente curto evidencia que a superfície de ataque das soluções de SD-WAN continua sendo um alvo prioritário para adversários, justamente por estar no caminho crítico de comunicação entre filiais, data centers e ambientes em nuvem.
A divulgação da nova vulnerabilidade ocorre logo após a correção de outra falha grave em um produto diferente da mesma fabricante: o Unified Communications Manager. Essa vulnerabilidade, rastreada como CVE-2026-20230 e avaliada com nota 8,6 no CVSS, já conta com código de prova de conceito publicamente disponível, embora a empresa afirme não haver indícios de exploração ativa até o momento. O contraste entre os dois casos – um com patch disponível, outro sem correção – reforça a sensação de urgência em torno do Catalyst SD-WAN Manager.
O caso do SD-WAN Manager chama atenção especialmente pela combinação de três fatores: exploração ativa confirmada, ausência de correção oficial e possibilidade de uso em conjunto com outras vulnerabilidades críticas de autenticação já conhecidas. Essa convergência cria um cenário de risco ampliado, no qual mesmo organizações com certo nível de maturidade em segurança podem ser surpreendidas se não tiverem processos robustos de monitoramento, gestão de vulnerabilidades e resposta a incidentes.
Para equipes de segurança e redes, o momento exige uma revisão aprofundada da postura de proteção em torno do SD-WAN. Isso inclui verificar quais instâncias do Catalyst SD-WAN Manager estão em produção, qual a versão exata em uso, como está configurado o controle de acesso ao console de administração e se há exposição desnecessária desse componente para a internet. Também é fundamental revisar perfis de usuário: contas com privilégios de netadmin devem ser restritas ao mínimo necessário, com autenticação forte, monitoramento de uso e revisão periódica.
Outra medida crucial consiste em reforçar a observabilidade da infraestrutura. A análise contínua de logs, em especial aqueles relacionados à execução de scripts, uploads de arquivos via CLI e alterações de configuração enviadas aos dispositivos de borda, pode permitir a detecção precoce de atividades anômalas. Ferramentas de correlação de eventos e sistemas de detecção de intrusão podem ser ajustados para identificar padrões específicos associados ao uso indevido de scripts e arquivos CSV no contexto da plataforma SD-WAN.
Organizações que operam em setores regulados ou com alta dependência da disponibilidade de redes distribuídas – como instituições financeiras, empresas de logística, provedores de serviços e órgãos governamentais – devem considerar planos de contingência. Isso pode envolver testes de restauração de configurações limpas, definição de procedimentos para revalidação de integridade de appliances de borda e até a preparação de cenários em que seja necessário isolar segmentos da rede em caso de comprometimento do SD-WAN Manager.
Do ponto de vista estratégico, o incidente reforça a importância de tratar soluções de gerenciamento de rede como ativos de alto valor, à altura de controladores de domínio, servidores de identidade e plataformas de orquestração em nuvem. Embora muitas vezes sejam vistos apenas como ferramentas operacionais, esses sistemas concentram poder suficiente para redesenhar o comportamento de toda a malha de comunicação corporativa – o que os torna alvos altamente atrativos para atacantes sofisticados.
Também é recomendável que equipes técnicas mantenham uma rotina disciplinada de acompanhamento de boletins de segurança do fabricante e de aplicação de patches assim que sejam disponibilizados. No caso específico da CVE-2026-20245, a ausência de correção não deve ser interpretada como motivo para inércia, mas sim como incentivo para acelerar todas as medidas periféricas possíveis: endurecimento de configuração, restrição de privilégios, segmentação e monitoramento reforçado.
A médio prazo, muitos especialistas defendem a adoção de princípios de zero trust na própria camada de gerenciamento de rede. Isso significa não apenas controlar quem acessa o SD-WAN Manager, mas também limitar o que cada identidade pode fazer, validar continuamente o comportamento esperado e garantir que alterações de configuração significativas passem por fluxos de aprovação, auditoria e, quando viável, validações automatizadas.
Enquanto a correção oficial não chega, o equilíbrio entre continuidade operacional e segurança passa a depender de decisões rápidas e bem informadas de administradores e gestores de TI. Ignorar o problema, neste contexto, significa correr o risco de ver toda uma infraestrutura de comunicação – que deveria ser um pilar de resiliência e eficiência – transformar-se em porta de entrada para ataques complexos e de alto impacto.