Vulnerabilidades Críticas y Altas en Cisco Secure FMC y Cisco SD-WAN
El día 4 de marzo del presente año, Cisco comunicó la existencia de dos vulnerabilidades críticas con puntuación CVSS máxima de 10.0 en la interfaz web de Cisco Secure Firewall Management Center (FMC). Actualmente, no se ha observado la explotación activa de estas dos vulnerabilidades. Adicionalmente, se anunció que dos vulnerabilidades que afectan a Cisco SD-WAN se encuentran bajo explotación activa.
CVE-2026-20079
Con una puntuación máxima CVSS de 10.0, esta vulnerabilidad se origina en un proceso creado durante el arranque del sistema y podría permitir que un atacante remoto no autenticado envíe solicitudes HTTP manipuladas, facilitando que ejecute scripts y comandos maliciosos con el fin de obtener permisos root en el sistema operativo.
Por el momento, no existen workarounds disponibles para mitigar la falla. Sin embargo, Cisco liberó actualizaciones que remedian esta vulnerabilidad existente en todas las configuraciones de Cisco Secure FMC.
CVE-2026-20131
La vulnerabilidad crítica registrada como CVE-2026-20131 podría permitir que un atacante remoto no autenticado ejecute código Java con permisos root en Cisco Secure FMC. Esto es posible debido a una deserialización insegura de un flujo de bytes de Java proporcionado por el usuario, lo cual facilita que un atacante envíe un objeto Java manipulado.
CVE-2026-20128
Esta vulnerabilidad de alta severidad fue revelada por Cisco en su anterior comunicado sobre vulnerabilidades que afectan a su producto SD-WAN, sin embargo, el 5 de marzo del 2026 se encontró evidencia de su explotación activa. Se trata de una vulnerabilidad en la función Data Collection Agent (DCA) que podría permitir que un atacante autenticado pueda obtener privilegios de usuario DCA debido a la existencia de un archivo con credenciales expuestas.
CVE-2026-20122
La vulnerabilidad identificada como CVE-2026-20122, con una puntuación CVSS de 5.4, cuenta con una severidad media y actualmente se encuentra bajo explotación activa. Afecta a Cisco SD-WAN, específicamente a su API, y podría permitir que un atacante remoto con permisos de lectura en la API sobreescriba archivos ubicados en el sistema local de archivos.
Para su explotación exitosa, un atacante podría aprovechar el manejo deficiente de archivos en la interfaz de la API para cargar archivos maliciosos.
Versiones Afectadas
CVE-2026-20079
| Productos | Versiones afectadas | Versiones corregidas |
| Cisco Secure FMC | Versión 7.0.0 a la versión 7.0.8 | Versión 7.0.9 |
| Versión 7.1.0 a la versión 7.1.0.3 | Versión 7.2.11 | |
| Versión 7.2.0 a la versión 7.2.10 | Versión 7.2.11 | |
| Versión 7.3.0 a la versión 7.3.1.2 | Versión 7.4.4 | |
| Versión 7.4.0 a la versión 7.4.3 | Versión 7.4.4 | |
| Versión 7.6.0 a la versión 7.6.3 | Versión 7.6.4 | |
| Versión 7.7.0 a la versión 7.7.11 | Versión 7.7.12 |
CVE-2026-20131
| Productos | Versiones afectadas | Versiones corregidas |
| Cisco Secure FMC | Versión 6.4.0.13 a la versión 6.4.0.18 | Versión 7.0.9 |
| Versión 7.0.0 a la versión 7.0.8 | Versión 7.0.9 | |
| Versión 7.1.0 a la versión 7.1.0.3 | Versión 7.2.11 | |
| Versión 7.2.0 a la versión 7.2.10 | Versión 7.2.11 | |
| Versión 7.3.0 a la versión 7.3.1.2 | Versión 7.4.6 | |
| Versión 7.4.0 a la versión 7.4.5 | Versión 7.4.6 | |
| Versión 7.6.0 a la versión 7.6.4 | Versión 7.6.5 | |
| Versión 7.7.0 a la versión 7.7.11 | Versión 7.7.12 | |
| Versión 10.0.0 | Versión 10.0.1 |
CVE-2026-20128 y CVE-2026-20122
| Productos | Versiones afectadas | Versiones corregidas |
| Cisco SD-WAN | Anterior a la versión 20.9 | Migrar a una versión corregida |
| Versión 20.9 | Versión 20.9.8.2 | |
| Versión 20.11 | Versión 20.12.6.1 | |
| Versión 20.12 | Versión 20.12.5.3 Versión 20.12.6.1 |
|
| Versión 20.13 | Versión 20.15.4.2 | |
| Versión 20.14 | Versión 20.15.4.2 | |
| Versión 20.15 | Versión 20.15.4.2 | |
| Versión 20.16 | Versión 20.18.2.1 | |
| Versión 20.18 | Versión 20.18.2.1 |
Recomendaciones
- Actualizar las versiones afectadas a las versiones corregidas.
- Evitar el acceso desde redes no seguras, como internet, al sistema.
- Proteger los componentes de control SD-WAN de Cisco Catalyst detrás de un dispositivo de filtrado como un cortafuegos, y filtrar el tráfico hacia y desde los sistemas permitiendo que solo hosts conocidos y confiables envíen tráfico a los sistemas.
- Monitorizar regularmente el tráfico de blogs web para detectar cualquier tráfico inesperado hacia y desde sistemas.
- Desactivar HTTP para el portal de administrador de la interfaz web Cisco Catalyst SD-WAN Manager.
- Desactivar cualquier servicio de red que no sea necesario, incluyendo HTTP y FTP.
- Cambiar la contraseña predeterminada de administrador por una variante más segura.
- Utilizar SSL/TLS, obtén un certificado SSL de una autoridad certificadora (CA) o crea un certificado autofirmado.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Cisco. (2026, marzo 4). Cisco Secure Firewall Management Center Software Authentication Bypass Vulnerability. Recuperado el 5 de marzo del 2026, en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-onprem-fmc-authbypass-5JPp45V2
- Cisco. (2026, marzo 4). Cisco Secure Firewall Management Center Software Remote Code Execution Vulnerability. Recuperado el 5 de marzo del 2026, en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh
- Cisco. (2026, febrero 25). Cisco Catalyst SD-WAN Vulnerabilities. Recuperado el 5 de marzo del 2026, en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v
- Gatlan, S. (2026, marzo 4). Cisco warns of max severity Secure FMC flaws giving root access. Bleeping Computer. Recuperado el 5 de marzo del 2026, en: https://www.bleepingcomputer.com/news/security/cisco-warns-of-max-severity-secure-fmc-flaws-giving-root-access/
- Kovacs, E. (2026, marzo 5). Cisco Warns of More Catalyst SD-WAN Flaws Exploited in the Wild. Bleeping Computer. Recuperado el 5 de marzo del 2026, en: https://www.securityweek.com/cisco-warns-of-more-catalyst-sd-wan-flaws-exploited-in-the-wild/
- Lakshmanan, R. (2026, marzo 5). Cisco Confirms Active Exploitation of Two Catalyst SD-WAN Manager Vulnerabilities. The Hacker News. Recuperado el 5 de marzo del 2026, en: https://thehackernews.com/2026/03/cisco-confirms-active-exploitation-of.html
