Alerta Five Eyes: ataques a Cisco Catalyst SD-WAN con CVE crítica para tomar control root
Una vulnerabilidad crítica Cisco Catalyst SD-WAN está en el centro de una alerta conjunta poco habitual firmada por las cinco agencias de inteligencia de Five Eyes (Australia, EE. UU., Reino Unido, Canadá y Nueva Zelanda), tras detectarse intentos de intrusión dirigidos a lograr acceso persistente y, finalmente, control con privilegios de root en despliegues empresariales.
Según el aviso, actores maliciosos están apuntando a implementaciones de Cisco Catalyst SD-WAN para comprometer los sistemas, insertar un “rogue peer” dentro del fabric y encadenar acciones posteriores orientadas a escalar privilegios y mantener persistencia. La advertencia recalca la naturaleza global del impacto, al tratarse de productos de edge ampliamente desplegados en organizaciones y entornos de infraestructura crítica.
Qué implica la vulnerabilidad crítica Cisco Catalyst SD-WAN
El comunicado se apoya en dos vulnerabilidades identificadas por CVE que, en escenarios de ataque, pueden combinarse para pasar de control administrativo a control total del sistema. La primera es CVE-2022-20775 (CVSS 7.8), descrita como un path traversal que afecta a la interfaz de línea de comandos del SD-WAN y puede utilizarse para escalada de privilegios. La segunda es CVE-2026-20127 (CVSS 10.0), un fallo de improper authentication que impacta a Cisco Catalyst SD-WAN Controller y Cisco Catalyst SD-WAN Manager (anteriormente SD-WAN vSmart y SD-WAN vManage), y que permitiría obtener privilegios administrativos si se explota con éxito.
Cisco ha indicado que, tras una explotación satisfactoria, el atacante podría llegar a acceder a NETCONF y reconfigurar el SD-WAN fabric, elevando el riesgo operativo más allá del plano de gestión: cambios no autorizados en políticas, rutas o emparejamientos podrían afectar disponibilidad, segmentación y control del tráfico en organizaciones distribuidas.
Cadena de explotación observada
De acuerdo con un informe separado de Cisco Talos, los ataques que aprovechan CVE-2026-20127 se atribuyen a un actor monitorizado como UAT-8616, con señales que apuntan a explotación desde, al menos, 2023. Talos sugiere un flujo en dos etapas: primero se explota CVE-2026-20127 para obtener privilegios de administración; después, se habría utilizado CVE-2022-20775 para degradar la versión de software y facilitar la transición a acceso de root, consolidando persistencia.
Ni las agencias ni el fabricante han publicado detalles explotables de forma directa sobre los fallos supuestamente utilizados, en una práctica habitual cuando existen campañas en curso y el objetivo es priorizar mitigación y reducción de superficie de ataque.
Por qué la alerta es relevante para la industria
La advertencia de Five Eyes subraya una tendencia sostenida: el targeting de dispositivos de red en el edge (incluyendo SD-WAN) como punto de entrada para establecer footholds difíciles de detectar, especialmente en organizaciones de alto valor. Este vector resulta atractivo por el rol que desempeña SD-WAN en conectividad de sedes, acceso a aplicaciones y control centralizado, lo que puede amplificar el impacto de un compromiso.
El número de incidentes confirmados no se ha detallado públicamente, y la información sobre víctimas es limitada, aunque se apunta a sectores sensibles y de alto valor como probables objetivos.
Respuesta coordinada y fuentes oficiales
Las agencias recomiendan apoyarse en el “Hunt Guide” coordinado por Australia para la búsqueda de indicadores de compromiso y, si se detecta actividad maliciosa, escalar la información a las autoridades competentes y actualizar a las versiones más recientes disponibles de Cisco Catalyst SD-WAN Controller/Manager siguiendo la guía del fabricante.
- Cisco Talos: análisis de actividad asociada a UAT-8616 y SD-WAN
- CVE.org: registro de CVE-2026-20127
- CVE.org: registro de CVE-2022-20775
- Cyber.gov.au: Hunt Guide coordinado por ACSC (PDF)
Con el respaldo explícito de Five Eyes y la atribución operativa de Talos, el mensaje para el mercado es claro: la vulnerabilidad crítica Cisco Catalyst SD-WAN se considera un riesgo inmediato cuando existen sistemas expuestos o sin actualizar, y el foco de las campañas descritas apunta a persistencia y control privilegiado en infraestructura de red.
