Vulnerabilidades Críticas y Altas en Cisco SD-WAN
El 25 de febrero del presente año, la Agencia de Ciberseguridad y Seguridad de Infraestructura de los Estados Unidos de America (CISA), agregó dos vulnerabilidades críticas que afectan a Cisco SD-WAN en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Una de ellas ha existido desde el 2022, mientras que la otra corresponde a una vulnerabilidad de día cero recientemente identificada. Además, Cisco informó sobre 3 vulnerabilidades adicionales de alta importancia en este producto.
CVE-2022-20775
La vulnerabilidad identificada como CVE-2022-20775 cuenta con una calificación CVSS de 7.8 y se origina en la CLI de Cisco SD-WAN. Su explotación exitosa podría permitir que un atacante autenticado eleve sus privilegios y ejecute comandos arbitrarios con permisos root. Esto es posible debido a una validación deficiente en los comandos ingresados en el CLI. Actualmente, se encuentra bajo explotación activa y se ha observado su uso junto a una vulnerabilidad crítica detallada a continuación.
CVE-2026-20127
Alcanzando la máxima puntuación CVSS de 10.0, esta vulnerabilidad crítica surge debido a un error en el mecanismo de autenticación peering. Para explotar esta vulnerabilidad, un atacante remoto no autenticado podría mandar solicitudes manipuladas a un sistema afectado e iniciar sesión como un usuario interno con altos privilegios en Cisco Catalyst SD-WAN Controller. Con esto, un actor malicioso podría acceder a NETCONF y manipular la configuración de la red. Sistemas Cisco Catalyst SD-WAN expuestos a internet con puertos expuestos se consideran en riesgo de ser comprometidos.
Para elevar sus privilegios, un atacante podría instalar una versión anterior del software, explotar la vulnerabilidad CVE-2022-20775 para obtener privilegios root y después regresar a la versión original para evadir ser detectado.
Se recomienda auditar los siguientes logs para validar posible instalación de versiones antiguas y/o actividad sospechosa:
• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log
De igual manera, se sugiere revisar el archivo “auth.log” ubicado en la ruta /var/log/auth.log, y buscar registros relacionados a Accepted publickey for vmanage-admin de direcciones IP no autorizadas, por ejemplo:
2026-02-10T22:51:36+00:00 vm sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY].
Estas direcciones IP desconocidas se deben comparar con las direcciones IP configuradas y listadas en la interfaz de usuario web de Cisco Catalyst SD-WAN, si alguna no coincide esto se considera como un indicador de compromiso, por lo que se recomienda abrir un caso con el centro de asistencia técnica de Cisco.
CVE-2026-20129
Con una puntuación CVSS de 9.8, la vulnerabilidad CVE-2026-20129 se considera de severidad crítica. Una autenticación incorrecta de las solicitudes enviadas a la API de Cisco Catalyst SD-WAN Manager facilita que un atacante remoto no autenticado acceda al sistema afectado con rol netadmin y ejecute comandos arbitrarios.
CVE-2026-20126
La vulnerabilidad registrada como CVE-2026-20126 podría permitir que un atacante autenticado con privilegios bajos envíe exitosamente solicitudes a la API REST y eleve sus privilegios en el sistema operativo. Esto es posible debido a una validación de usuario deficiente en la API REST. Con una puntuación CVSS de 8.8 se considera de alta importancia.
CVE-2026-20128
Clasificada con alta severidad y puntuación CVSS de 7.5, esta vulnerabilidad se encuentra en la función de Agente de Recolector de Datos (DCA) del Cisco Catalyst SD-WAN Manager, debido a la existencia de un archivo de credenciales para el usuario DCA.
Un atacante local autenticado podría obtener privilegios de usuario DCA en un sistema afectado siempre y cuando cuente con credenciales vmanage válidas para acceder y leer el archivo que contiene la contraseña DCA de ese sistema.
Versiones Afectadas
CVE-2022-20775
| Productos | Versiones afectadas | Versiones corregidas |
| Cisco SD-WAN | Versión 18.4 y anteriores | Migrar a una versión corregida |
| Versión 19.2 | Migrar a una versión corregida | |
| Versión 20.3 | Migrar a una versión corregida | |
| Versión 20.6 | Versión 20.6.3 | |
| Versión 20.7 | Versión 20.7.2 | |
| Versión 20.8 | Versión 20.8.1 |
CVE-2026-20127, CVE-2026-20129, CVE-2026-20126, CVE-2026-20128
| Productos | Versiones afectadas | Versiones corregidas |
| Cisco Catalyst SD-WAN Release | Anterior a la versión 20.9 | Migrar a una versión corregida |
| Versión 20.9 | Versión 20.9.8.2 | |
| Versión 20.11 | Versión 20.12.6.1 | |
| Versión 20.12 | Versión 20.12.5.3 Versión 20.12.6.1 |
|
| Versión 20.13 | Versión 20.15.4.2 | |
| Versión 20.14 | Versión 20.15.4.2 | |
| Versión 20.15 | Versión 20.15.4.2 | |
| Versión 20.16 | Versión 20.18.2.1 | |
| Versión 20.18 | Versión 20.18.2.1 |
Recomendaciones
- Actualizar las versiones afectadas a las versiones corregidas.
- Evitar el acceso desde redes no seguras, como internet, al sistema.
- Proteger los componentes de control SD-WAN de Cisco Catalyst detrás de un dispositivo de filtrado como un cortafuegos, y filtrar el tráfico hacia y desde los sistemas permitiendo que solo hosts conocidos y confiables envíen tráfico a los sistemas.
- Monitoriza regularmente el tráfico de blogs web para detectar cualquier tráfico inesperado hacia y desde sistemas.
- Desactiva HTTP para el portal de administrador de la interfaz web Cisco Catalyst SD-WAN Manager.
- Desactiva cualquier servicio de red que no sea necesario, incluyendo HTTP y FTP.
- Actualiza el sistema a la última versión de Cisco Catalyst SD-WAN Software.
- Cambia la contraseña predeterminada de administrador por una variante más segura.
- Utiliza SSL/TLS, obtén un certificado SSL de una autoridad certificadora (CA) o crea un certificado autofirmado.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Cisco. (2026, febrero 25). Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability. Recuperado el 27 de febrero del 2026, en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk
- Cisco. (2026, febrero 25). Cisco Catalyst SD-WAN Vulnerabilities. Recuperado el 27 de febrero del 2026, en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v
- Cisco. (2022, septiembre 28). Cisco SD-WAN Software Privilege Escalation Vulnerabilities. Recuperado el 27 de febrero del 2026, en: https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-sd-wan-priv-E6e8tEdF.html?dtid=osscdc000283&linkclickid=srch
- Abrams, L. (2026, febrero 25). Critical Cisco SD-WAN bug exploited in zero-day attacks since 2023. Bleeping Computer. Recuperado el 27 de febrero del 2026, en: https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/
- Lakshmanan, R. (2026, febrero 26). Cisco SD-WAN Zero-Day CVE-2026-20127 Exploited Since 2023 for Admin Access. The Hacker News. Recuperado el 27 de febrero del 2026, en: https://thehackernews.com/2026/02/cisco-sd-wan-zero-day-cve-2026-20127.html
