A Cisco liberou atualizações de segurança para corrigir uma vulnerabilidade crítica de dia zero (zero-day) no Catalyst SD-WAN Manager (anteriormente conhecido como SD-WAN vManage), identificada como CVE-2026-20262. De acordo com a própria empresa, a falha já estava sendo explorada por agentes maliciosos em ataques reais, permitindo que atacantes elevassem seus privilégios para o nível de root. Este incidente marca a oitava vulnerabilidade em produtos Cisco SD-WAN que foi ativamente explorada por atacantes desde o início de 2026, destacando a persistente atenção dos cibercriminosos a essa plataforma.
O Catalyst SD-WAN Manager é uma ferramenta essencial para a gestão centralizada de infraestruturas SD-WAN, capaz de supervisionar até 6.000 dispositivos através de uma única interface de console. A vulnerabilidade em questão afeta todas as modalidades de implantação do produto, incluindo instalações on-premises, soluções em nuvem como Cisco SD-WAN Cloud e Cloud-Pro, bem como ofertas específicas para o setor governamental. A causa raiz da falha foi identificada como uma validação inadequada de dados de entrada do usuário durante o processo de upload de arquivos. Um atacante, possuindo credenciais de escrita válidas, poderia enviar uma requisição HTTP especialmente elaborada para a API vulnerável. Essa ação maliciosa permitia a criação ou sobrescrita de arquivos arbitrários no sistema.
Embora a vulnerabilidade em si não concedesse acesso direto de root, o arquivo malicioso criado podia ser subsequentemente utilizado como um vetor para escalada de privilégios, culminando no comprometimento total do sistema. A equipe de Resposta a Incidentes de Segurança de Produtos (PSIRT) da Cisco detectou os primeiros indícios de exploração desta vulnerabilidade em junho de 2026. No entanto, a empresa ainda não divulgou detalhes específicos sobre os ataques, apenas que a exploração do bug foi de natureza limitada. É relevante notar que, no início de junho, os desenvolvedores da Cisco já haviam emitido um alerta sobre outra vulnerabilidade de dia zero no SD-WAN (CVE-2026-20245), que também possibilitava a obtenção de acesso root em dispositivos afetados. Paralelamente à publicação das correções, a Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) incluiu a CVE-2026-20262 em seu catálogo de vulnerabilidades conhecidas e exploradas, ordenando que agências federais resolvessem o problema até 29 de junho de 2026. Segundo a CISA, esta é a oitava vulnerabilidade em Cisco SD-WAN explorada em ataques reais este ano, elevando para mais de 90 o número total de vulnerabilidades em produtos Cisco exploradas por atacantes nos últimos anos, segundo registros de especialistas em segurança da informação.
