CVE-2026-20245: La Séptima Vulnerabilidad Zero-Day en Cisco SD-WAN que Permite Ejecución de Comandos como Root sin Parche Disponible
CVE-2026-20245: La Séptima Vulnerabilidad Zero-Day en Cisco SD-WAN que Permite Ejecución de Comandos como Root sin Parche Disponible
Fecha de publicación: 7 de junio de 2026 Categoría: Seguridad Informática · Network Security · Vulnerabilidades
Contexto: El ecosistema SD-WAN de Cisco bajo fuego sostenido
El 5 de junio de 2026, Cisco divulgó CVE-2026-20245, una vulnerabilidad de alta severidad con puntuación CVSS 7.8 en el CLI de Cisco Catalyst SD-WAN Manager (anteriormente conocido como SD-WAN vManage). La falla, clasificada bajo CWE-116 (codificación o escape inadecuado de salida), permite a un atacante autenticado con privilegios de netadmin ejecutar comandos arbitrarios como root mediante la carga de un archivo especialmente diseñado al sistema afectado.
Lo que hace este caso especialmente crítico no es la vulnerabilidad en sí, sino el contexto en el que emerge: se trata de la séptima falla en la infraestructura SD-WAN de Cisco explotada activamente solo en 2026, y se suma a una cadena de vulnerabilidades previas que los atacantes ya están aprovechando como vector de entrada. Cisco confirmó haber observado casos reales de explotación en los que la falla derivó en cambios de configuración aplicados a dispositivos de borde (edge devices), sin que existan parches disponibles al momento de la divulgación.
La vulnerabilidad fue descubierta y reportada de forma responsable por investigadores de Google Mandiant: Chester Sng, Pete Boonyakarn y Logeswaran Nadarajan.
Al momento de esta publicación, no existen parches ni mitigaciones directas disponibles para CVE-2026-20245.
El Problema Técnico: Inyección de Comandos a través del CLI
CVE-2026-20245 reside en la interfaz de línea de comandos (CLI) de Cisco Catalyst SD-WAN Manager y es el resultado de una validación insuficiente de la entrada suministrada por el usuario durante el procesamiento de archivos cargados al sistema.
El mecanismo de explotación es directo: un atacante con acceso netadmin puede cargar un archivo especialmente diseñado (como un CSV malicioso) que es procesado por scripts internos del sistema, como /usr/bin/vconfd_script_upload_tenant_list.sh, los cuales no sanean correctamente la entrada antes de ejecutarla. El resultado es command injection que eleva los privilegios del atacante al nivel de usuario root, otorgándole control total sobre el plano de gestión SD-WAN y la capacidad de propagar cambios de configuración a todos los dispositivos de borde administrados.
Una vez obtenido acceso root sobre SD-WAN Manager, el impacto potencial incluye:
- Modificación de tablas de enrutamiento y políticas de tráfico en toda la red SD-WAN
- Acceso a credenciales almacenadas en el plano de control
- Persistencia a largo plazo en la infraestructura de red corporativa
- Pivoteo hacia sistemas internos protegidos detrás del perímetro SD-WAN
La falla afecta todas las modalidades de despliegue de Cisco SD-WAN Manager: On-Prem, SD-WAN Cloud-Pro, SD-WAN Cloud (Cisco Managed) y SD-WAN for Government (FedRAMP).
La Cadena de Ataque: CVE-2026-20245 No Opera en Aislamiento
El requisito de acceso previo (netadmin) puede parecer una barrera suficiente, pero en la práctica no lo es. Cisco reconoce explícitamente que el atacante puede obtener los privilegios necesarios a través de dos vulnerabilidades críticas previas, también bajo explotación activa:
CVE-2026-20127 (CVSS 10.0) — Authentication Bypass en SD-WAN Controller
Una vulnerabilidad de bypass de autenticación de severidad máxima que permite a un atacante remoto no autenticado obtener acceso interno con altos privilegios mediante el envío de solicitudes diseñadas al SD-WAN Controller. Esta falla ha sido explotada activamente en ataques zero-day desde al menos 2023, vinculada al clúster de actividad amenazante identificado como UAT-8616.
CVE-2026-20182 (CVSS 10.0) — Authentication Bypass en el servicio vdaemon (DTLS/UDP 12346)
Otro bypass de autenticación crítico en el servicio vdaemon del SD-WAN Controller, revelado en mayo de 2026 por el equipo de Rapid7. Esta falla inyecta una clave SSH controlada por el atacante en la cuenta vmanage-admin, otorgando acceso NETCONF persistente al plano de control. Fue también explotada como zero-day antes de que existieran parches disponibles.
La cadena de ataque resultante es la siguiente:
CVE-2026-20127 / CVE-2026-20182 → Acceso netadmin al SD-WAN Manager → CVE-2026-20245 → Ejecución de comandos como root
(Auth bypass remoto sin credenciales) (Privilegios de control) (Command injection via file upload) (Compromiso total del plano de gestión)
Esta arquitectura de ataque encadenado es precisamente la que Cisco describe en su advisory cuando indica que no tiene constancia de métodos de explotación de CVE-2026-20245 distintos a los que utilizan credenciales válidas o las dos vulnerabilidades de bypass mencionadas.
Explotación Activa: Lo Que Cisco Confirmó
La confirmación de explotación en entornos reales es uno de los elementos más relevantes de este advisory. Cisco reportó haber observado casos limitados en los que la explotación exitosa de CVE-2026-20245 derivó en cambios de configuración aplicados de forma no autorizada a dispositivos de borde de la red SD-WAN.
En términos prácticos, esto significa que al menos un actor amenazante logró:
- Ganar acceso con privilegios netadmin al SD-WAN Manager (presumiblemente a través de las vulnerabilidades previas)
- Cargar un archivo malicioso para explotar CVE-2026-20245 y obtener root
- Modificar la configuración de la red y propagar esos cambios a dispositivos de borde
La identidad del actor detrás de la explotación activa de CVE-2026-20245 no ha sido divulgada públicamente. Sin embargo, dado el historial de UAT-8616 con CVE-2026-20127, resulta razonable considerar que actores de amenaza persistente avanzada (APT) están activamente trabajando contra el ecosistema SD-WAN de Cisco como objetivo prioritario.
Indicadores de Compromiso (IoC)
Cisco proporcionó entradas específicas en logs que pueden indicar explotación activa. Los administradores deben revisar el archivo /var/log/scripts.log en busca de entradas como las siguientes:
Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
Jun 5 13:06:39 Manager vScript: vSmart upload serial numbers: /usr/bin/vconfd_script_upload_vsmart_serial_numbers.sh -cli path /home/admin/vsmart_serial_numbers_safe.csv
Jun 5 13:08:47 Validator vScript: ZTP upload chassis numbers: /usr/bin/vconfd_script_upload_chassis_number_file.sh -cli path /home/admin/chassis_numbers_safe.csv
La presencia de rutas de archivo inusuales en el parámetro -cli path, especialmente hacia archivos CSV en directorios de usuario como /home/admin/, debe tratarse como indicador de explotación potencial hasta que se descarte.
⚠️ Advertencia crítica: Si los logs confirman compromiso, la simple aplicación del parche cuando esté disponible no resolverá el problema. Cisco indica explícitamente que en casos de compromiso confirmado, los clientes deben abrir un caso con el Cisco Technical Assistance Center (TAC) para recibir orientación de remediación específica.
Recomendaciones para Equipos de Seguridad
Ante la ausencia de parches para CVE-2026-20245, Cisco y la comunidad de seguridad han documentado las siguientes acciones inmediatas:
Paso 1: Preservar evidencia antes de cualquier cambio
Antes de realizar cualquier actualización, generar un archivo admin-tech desde cada componente de control del despliegue SD-WAN para preservar posibles evidencias forenses:
request admin-tech
Esta acción debe ejecutarse desde cada SD-WAN Manager, Controller y Validator activo en el entorno.
Paso 2: Aplicar los parches de CVE-2026-20182
Cisco recomienda actualizar al software que incorpora las correcciones para CVE-2026-20182 (publicadas el 14 de mayo de 2026). Si bien estos parches no corrigen directamente CVE-2026-20245, eliminan el principal vector de acceso previo que los atacantes están utilizando para encadenar la explotación.
Paso 3: Verificar configuraciones de dispositivos de borde
Revisar todas las configuraciones de los edge devices administrados por SD-WAN Manager para detectar cambios no autorizados. Esto implica comparar el estado actual contra las líneas base de configuración, prestando atención especial a cambios en enrutamiento, plantillas y políticas de tráfico.
Para administradores de sistemas
- Restringir acceso a SD-WAN Manager a redes administrativas dedicadas. Los sistemas expuestos a Internet tienen un riesgo significativamente elevado de compromiso.
- Aplicar autenticación robusta para cuentas netadmin, incluyendo autenticación multifactor donde sea técnicamente viable.
- Centralizar la recolección de logs de SD-WAN Manager y Controllers en un SIEM para correlación de eventos y detección de patrones anómalos de carga de archivos a través del CLI.
- Monitorear activamente los canales de Cisco PSIRT para la publicación del parche específico para CVE-2026-20245.
- Verificar que CVE-2026-20127 y CVE-2026-20182 estén mitigados en todos los componentes del entorno SD-WAN; si alguno sigue expuesto, la superficie de ataque hacia CVE-2026-20245 permanece completamente abierta.
Análisis: Un Ecosistema Bajo Asedio Sistemático
CVE-2026-20245 no puede evaluarse de forma aislada. Forma parte de un patrón que se ha vuelto imposible de ignorar en 2026: siete vulnerabilidades explotadas activamente en el ecosistema Cisco SD-WAN en menos de seis meses.
El historial de las fallas precedentes ilustra la profundidad del problema:
| CVE | CVSS | Tipo | Estado |
|---|---|---|---|
| CVE-2026-20127 | 10.0 | Auth bypass en SD-WAN Controller | Explotado desde 2023; parche disponible |
| CVE-2026-20133 | Alta | Divulgación de información en SD-WAN Manager | Parche disponible; CISA lo flaggueó en abril |
| CVE-2026-20122 | Alta | Escalada de privilegios | Parche disponible |
| CVE-2026-20128 | Alta | Escalada de privilegios | Parche disponible |
| CVE-2022-20775 | Alta | Falla histórica | Explotación activa documentada en 2026 |
| CVE-2026-20182 | 10.0 | Auth bypass en vdaemon | Parche disponible desde 14 mayo 2026 |
| CVE-2026-20245 | 7.8 | Command injection / LPE | Sin parche disponible |
Este patrón no es aleatorio. Los actores avanzados — incluyendo grupos APT con nexos estatales como el clúster UAT-8616 — han identificado la infraestructura SD-WAN como un objetivo de alto valor estratégico: comprometer el plano de gestión equivale a comprometer la visibilidad y el control sobre toda la red de la organización víctima.
Desde una perspectiva de arquitectura de amenazas, Cisco SD-WAN Manager ocupa el mismo espacio que otros objetivos históricamente preferidos por actores sofisticados: sistemas de gestión centralizada que, una vez comprometidos, ofrecen movimiento lateral hacia todos los segmentos que administran. La diferencia con un firewall o un VPN concentrator es que SD-WAN Manager tiene la capacidad nativa de reconfigurar dinámicamente la red y propagar esos cambios hacia miles de dispositivos de borde, convirtiendo el compromiso del plano de control en un arma de alcance masivo.
La acumulación de siete vulnerabilidades explotadas en un mismo componente en un solo año también plantea preguntas sobre las prácticas de revisión de código de seguridad en proyectos de infraestructura crítica: no se trata solo de fallas individuales, sino de un patrón sistémico que sugiere deuda técnica de seguridad acumulada a lo largo de múltiples ciclos de desarrollo.
Cronología del Incidente
| Fecha | Evento |
|---|---|
| Al menos desde 2023 | UAT-8616 explota CVE-2026-20127 en ataques zero-day |
| Febrero 2026 | Cisco parchea CVE-2026-20133; CISA lo flagguea como activamente explotado en abril |
| Febrero 2026 | Cisco divulga y parchea CVE-2026-20127 |
| Mayo 2026 | Rapid7 divulga CVE-2026-20182; Cisco publica parches el 14 de mayo |
| Mayo 2026 | CISA agrega CVE-2026-20122, CVE-2026-20128 y CVE-2026-20133 al catálogo KEV |
| Junio 2026 (antes del 5) | PSIRT de Cisco es notificado por investigadores de Google Mandiant |
| 5 de junio de 2026 | Cisco divulga CVE-2026-20245 con explotación activa confirmada; sin parche disponible |
| Pendiente | Publicación de parche específico para CVE-2026-20245 |
Recapitulando…
CVE-2026-20245 representa algo más que una vulnerabilidad técnica de alta severidad: es la manifestación más reciente de una campaña sostenida contra infraestructura de red crítica que lleva años en desarrollo. El hecho de que esta sea la séptima falla explotada activamente en el mismo ecosistema en 2026, combinado con la ausencia de parches al momento de la divulgación y la confirmación de compromiso real en entornos productivos, sitúa a los administradores de redes SD-WAN en una posición defensiva que exige acción inmediata.
La lección operativa es clara: en entornos donde la ausencia de parches no permite eliminar la falla, el perímetro defensivo debe construirse sobre la base de eliminar o mitigar los vectores de acceso previo — CVE-2026-20182 y CVE-2026-20127 — restringir el acceso al plano de gestión, y mantener una vigilancia activa sobre los indicadores de compromiso documentados. Aplicar el parche de CVE-2026-20182 no es solo una corrección de una vulnerabilidad anterior; en este contexto, es también la mitigación más efectiva disponible contra CVE-2026-20245 mientras el parche específico no llegue.
Cuando el parche esté disponible, la detección y contención previa serán la diferencia entre un incidente contenido y un compromiso que requiera recuperación completa de la infraestructura de red.
Fuentes consultadas:
- Cisco PSIRT. “Cisco Catalyst SD-WAN Manager Authenticated Privilege Escalation Vulnerability” — Cisco Security Advisory (cisco-sa-sdwan-privesc-4uxFrdzx), publicado 5 de junio de 2026
- Lakshmanan, R. “Cisco Catalyst SD-WAN Manager CVE-2026-20245 Flaw Actively Exploited – No Patch Available” — The Hacker News (6 de junio de 2026)
- Gatlan, S. “Cisco warns of unpatched SD-WAN zero-day exploited in attacks” — BleepingComputer (5 de junio de 2026)
- Zorz, Z. “Cisco SD-WAN 0-day exploited, no patch available (CVE-2026-20245)” — Help Net Security (5 de junio de 2026)
- CyberPress. “Cisco SD-WAN Flaw Exploited to Execute Root-Level Commands” — CyberPress (junio 2026)
- SOC Prime. “CVE-2026-20245: Cisco SD-WAN Manager Zero-Day Enables Root Command Execution” — SOC Prime (junio 2026)
- Rescana. “Active Exploitation Alert: Cisco Catalyst SD-WAN Manager CVE-2026-20245 Zero-Day Under Attack With No Patch Available” — Rescana (junio 2026)
- Field Effect. “Active exploitation of unpatched Cisco SD-WAN Manager flaw” — Field Effect (junio 2026)