⚡ Não perca: notícia importante no ar! ⚡
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Cisco divulgou que mais duas vulnerabilidades que afetam o Catalyst SD-WAN Manager (anteriormente SD-WAN vManage) estão sob exploração ativa.
As vulnerabilidades em questão estão listadas abaixo -
CVE-2026-20122 (pontuação CVSS: 7.1) – Uma vulnerabilidade de substituição de arquivo arbitrário que pode permitir que um invasor remoto autenticado substitua arquivos arbitrários no sistema de arquivos local. A exploração bem-sucedida exige que o invasor tenha credenciais válidas somente leitura com acesso à API no sistema afetado.
CVE-2026-20128 (pontuação CVSS: 5,5) – Uma vulnerabilidade de divulgação de informações que pode permitir que um invasor local autenticado obtenha privilégios de usuário do Agente de Coleta de Dados (DCA) em um sistema afetado. A exploração bem-sucedida exige que o invasor tenha credenciais válidas do vManage no sistema afetado.
Patches para defeitos de segurança, juntamente com CVE-2026-20126, CVE-2026-20129 e CVE-2026-20133, foram lançados pela Cisco no final do mês passado nas seguintes versões -
Anterior à Versão 20.91 - Migre para uma versão fixa.
Versão 20.9 - Corrigido em 20.9.8.2
Versão 20.11 - Corrigido em 20.12.6.1
Versão 20.12 – Corrigido em 20.12.5.3 e 20.12.6.1
Versão 20.13 - Corrigido em 20.15.4.2
Versão 20.14 - Corrigido em 20.15.4.2
Versão 20.15 - Corrigido em 20.15.4.2
Versão 20.16 - Corrigido em 20.18.2.1
Versão 20.18 - Corrigido em 20.18.2.1
“Em março de 2026, o Cisco PSIRT tomou conhecimento da exploração ativa das vulnerabilidades descritas apenas em CVE-2026-20128 e CVE-2026-20122”, disse o fabricante de equipamentos de rede. A empresa não detalhou a escala da atividade e quem pode estar por trás dela.
Ryan Dewhurst, chefe de inteligência proativa de ameaças da watchTowr, Ryan Dewhurst, disse que a plataforma de gerenciamento preventivo de exposição testemunhou tentativas de exploração de vários endereços IP exclusivos e observou agentes de ameaças implantando shells da web.
“O maior aumento na atividade ocorreu em 4 de março, com ataques amplamente espalhados por várias regiões do mundo, e as áreas baseadas nos EUA tiveram uma atividade ligeiramente maior do que outras”, acrescentou Dewhurst. “Esperamos que a atividade continue como parte da típica cauda longa de exploração, à medida que mais agentes de ameaças se envolvem. Com a exploração em massa e oportunista em jogo, qualquer sistema exposto deve ser considerado comprometido até prova em contrário.”
À luz da exploração ativa, recomenda-se que os usuários atualizem para uma versão de software fixa o mais rápido possível e tomem medidas para limitar o acesso de redes não seguras, proteger os dispositivos atrás de um firewall, desabilitar o HTTP para o portal do administrador da UI da web do Catalyst SD-WAN Manager, desligar serviços de rede como HTTP e FTP se não forem necessários, alterar a senha padrão do administrador e monitorar o tráfego de log para qualquer tráfego inesperado de e para os sistemas.
A divulgação ocorre uma semana depois que a empresa afirmou que uma falha crítica de segurança no Cisco Catalyst SD-WAN Controller e Catalyst SD-WAN Manager (CVE-2026-20127, pontuação CVSS: 10,0) foi explorada por um agente de ameaças cibernéticas altamente sofisticado rastreado como UAT-8616 para estabelecer pontos de apoio persistentes em organizações de alto valor.
Esta semana, a Cisco também lançou atualizações para resolver duas vulnerabilidades de segurança de gravidade máxima no Secure Firewall Management Center (CVE-2026-20079 e CVE-2026-20131, pontuações CVSS: 10.0) que podem permitir que um invasor remoto não autenticado ignore a autenticação e execute código Java arbitrário como root em um dispositivo afetado.
As vulnerabilidades em questão estão listadas abaixo -
CVE-2026-20122 (pontuação CVSS: 7.1) – Uma vulnerabilidade de substituição de arquivo arbitrário que pode permitir que um invasor remoto autenticado substitua arquivos arbitrários no sistema de arquivos local. A exploração bem-sucedida exige que o invasor tenha credenciais válidas somente leitura com acesso à API no sistema afetado.
CVE-2026-20128 (pontuação CVSS: 5,5) – Uma vulnerabilidade de divulgação de informações que pode permitir que um invasor local autenticado obtenha privilégios de usuário do Agente de Coleta de Dados (DCA) em um sistema afetado. A exploração bem-sucedida exige que o invasor tenha credenciais válidas do vManage no sistema afetado.
Patches para defeitos de segurança, juntamente com CVE-2026-20126, CVE-2026-20129 e CVE-2026-20133, foram lançados pela Cisco no final do mês passado nas seguintes versões -
Anterior à Versão 20.91 - Migre para uma versão fixa.
Versão 20.9 - Corrigido em 20.9.8.2
Versão 20.11 - Corrigido em 20.12.6.1
Versão 20.12 – Corrigido em 20.12.5.3 e 20.12.6.1
Versão 20.13 - Corrigido em 20.15.4.2
Versão 20.14 - Corrigido em 20.15.4.2
Versão 20.15 - Corrigido em 20.15.4.2
Versão 20.16 - Corrigido em 20.18.2.1
Versão 20.18 - Corrigido em 20.18.2.1
“Em março de 2026, o Cisco PSIRT tomou conhecimento da exploração ativa das vulnerabilidades descritas apenas em CVE-2026-20128 e CVE-2026-20122”, disse o fabricante de equipamentos de rede. A empresa não detalhou a escala da atividade e quem pode estar por trás dela.
Ryan Dewhurst, chefe de inteligência proativa de ameaças da watchTowr, Ryan Dewhurst, disse que a plataforma de gerenciamento preventivo de exposição testemunhou tentativas de exploração de vários endereços IP exclusivos e observou agentes de ameaças implantando shells da web.
“O maior aumento na atividade ocorreu em 4 de março, com ataques amplamente espalhados por várias regiões do mundo, e as áreas baseadas nos EUA tiveram uma atividade ligeiramente maior do que outras”, acrescentou Dewhurst. “Esperamos que a atividade continue como parte da típica cauda longa de exploração, à medida que mais agentes de ameaças se envolvem. Com a exploração em massa e oportunista em jogo, qualquer sistema exposto deve ser considerado comprometido até prova em contrário.”
À luz da exploração ativa, recomenda-se que os usuários atualizem para uma versão de software fixa o mais rápido possível e tomem medidas para limitar o acesso de redes não seguras, proteger os dispositivos atrás de um firewall, desabilitar o HTTP para o portal do administrador da UI da web do Catalyst SD-WAN Manager, desligar serviços de rede como HTTP e FTP se não forem necessários, alterar a senha padrão do administrador e monitorar o tráfego de log para qualquer tráfego inesperado de e para os sistemas.
A divulgação ocorre uma semana depois que a empresa afirmou que uma falha crítica de segurança no Cisco Catalyst SD-WAN Controller e Catalyst SD-WAN Manager (CVE-2026-20127, pontuação CVSS: 10,0) foi explorada por um agente de ameaças cibernéticas altamente sofisticado rastreado como UAT-8616 para estabelecer pontos de apoio persistentes em organizações de alto valor.
Esta semana, a Cisco também lançou atualizações para resolver duas vulnerabilidades de segurança de gravidade máxima no Secure Firewall Management Center (CVE-2026-20079 e CVE-2026-20131, pontuações CVSS: 10.0) que podem permitir que um invasor remoto não autenticado ignore a autenticação e execute código Java arbitrário como root em um dispositivo afetado.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #cisco #confirma #exploração #ativa #de #duas #vulnerabilidades #do #catalyst #sdwan #manager
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário