🌟 Atualização imperdível para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Cisco lançou atualizações para resolver uma falha de desvio de autenticação de gravidade máxima no Catalyst SD-WAN Controller que, segundo ela, foi explorada em ataques limitados.
A vulnerabilidade, rastreada como CVE-2026-20182, carrega uma pontuação CVSS de 10,0.
“Uma vulnerabilidade na autenticação de peering no Cisco Catalyst SD-WAN Controller, anteriormente SD-WAN vSmart, e no Cisco Catalyst SD-WAN Manager, anteriormente SD-WAN vManage, pode permitir que um invasor remoto não autenticado ignore a autenticação e obtenha privilégios administrativos em um sistema afetado”, disse a Cisco.
O especialista em equipamentos de rede disse que a falha decorre de um mau funcionamento do mecanismo de autenticação de peering, que um invasor poderia explorar enviando solicitações elaboradas ao sistema afetado.
Uma exploração bem-sucedida pode permitir que o invasor faça login no controlador Cisco Catalyst SD-WAN como uma conta de usuário interna, de alto privilégio e não raiz e, em seguida, transforme-o em uma arma para acessar o NETCONF e manipular a configuração de rede para a estrutura SD-WAN.
A vulnerabilidade afeta as seguintes implantações -
Implantação local
Cisco SD-WAN Cloud-Pro
Nuvem Cisco SD-WAN (gerenciada pela Cisco)
Cisco SD-WAN para governo (FedRAMP)
De acordo com Rapid7, que descobriu o CVE-2026-20182, a deficiência tem seus ecos no CVE-2026-20127 (pontuação CVSS: 10,0), outro desvio crítico de autenticação que afeta o mesmo componente. Diz-se que este último foi explorado por um agente de ameaça chamado UAT-8616 desde pelo menos 2023.
“Essa nova vulnerabilidade de desvio de autenticação afeta o serviço ‘vdaemon’ sobre DTLS (porta UDP 12346), que é o mesmo serviço vulnerável ao CVE-2026-20127”, disseram os pesquisadores do Rapid7 Jonah Burgess e Stephen Fewer. “A nova vulnerabilidade não é um desvio de patch do CVE-2026-20127. É um problema diferente localizado em uma parte semelhante da pilha de rede ‘vdaemon’.”
Dito isto, o resultado final é o mesmo: um invasor remoto não autenticado pode abusar do CVE-2026-20182 para se tornar um par autenticado do dispositivo alvo e realizar operações privilegiadas.
A Cisco, em seu comunicado, observou que tomou conhecimento da “exploração limitada” da falha em maio de 2026, instando os clientes a aplicarem as atualizações mais recentes o mais rápido possível.
A empresa também disse que os sistemas Catalyst SD-WAN Controller acessíveis pela Internet e que têm portas expostas correm maior risco de comprometimento. É recomendável que os clientes auditem o arquivo "/var/log/auth.log" para entradas relacionadas à chave pública aceita para vmanage-admin de endereços IP desconhecidos ou não autorizados.
Outro indicador é a presença de eventos de peering suspeitos nos logs, incluindo conexões de pares não autorizadas que ocorrem em momentos inesperados e se originam de endereços IP não reconhecidos ou envolvem tipos de dispositivos inconsistentes com a arquitetura do ambiente.
A vulnerabilidade, rastreada como CVE-2026-20182, carrega uma pontuação CVSS de 10,0.
“Uma vulnerabilidade na autenticação de peering no Cisco Catalyst SD-WAN Controller, anteriormente SD-WAN vSmart, e no Cisco Catalyst SD-WAN Manager, anteriormente SD-WAN vManage, pode permitir que um invasor remoto não autenticado ignore a autenticação e obtenha privilégios administrativos em um sistema afetado”, disse a Cisco.
O especialista em equipamentos de rede disse que a falha decorre de um mau funcionamento do mecanismo de autenticação de peering, que um invasor poderia explorar enviando solicitações elaboradas ao sistema afetado.
Uma exploração bem-sucedida pode permitir que o invasor faça login no controlador Cisco Catalyst SD-WAN como uma conta de usuário interna, de alto privilégio e não raiz e, em seguida, transforme-o em uma arma para acessar o NETCONF e manipular a configuração de rede para a estrutura SD-WAN.
A vulnerabilidade afeta as seguintes implantações -
Implantação local
Cisco SD-WAN Cloud-Pro
Nuvem Cisco SD-WAN (gerenciada pela Cisco)
Cisco SD-WAN para governo (FedRAMP)
De acordo com Rapid7, que descobriu o CVE-2026-20182, a deficiência tem seus ecos no CVE-2026-20127 (pontuação CVSS: 10,0), outro desvio crítico de autenticação que afeta o mesmo componente. Diz-se que este último foi explorado por um agente de ameaça chamado UAT-8616 desde pelo menos 2023.
“Essa nova vulnerabilidade de desvio de autenticação afeta o serviço ‘vdaemon’ sobre DTLS (porta UDP 12346), que é o mesmo serviço vulnerável ao CVE-2026-20127”, disseram os pesquisadores do Rapid7 Jonah Burgess e Stephen Fewer. “A nova vulnerabilidade não é um desvio de patch do CVE-2026-20127. É um problema diferente localizado em uma parte semelhante da pilha de rede ‘vdaemon’.”
Dito isto, o resultado final é o mesmo: um invasor remoto não autenticado pode abusar do CVE-2026-20182 para se tornar um par autenticado do dispositivo alvo e realizar operações privilegiadas.
A Cisco, em seu comunicado, observou que tomou conhecimento da “exploração limitada” da falha em maio de 2026, instando os clientes a aplicarem as atualizações mais recentes o mais rápido possível.
A empresa também disse que os sistemas Catalyst SD-WAN Controller acessíveis pela Internet e que têm portas expostas correm maior risco de comprometimento. É recomendável que os clientes auditem o arquivo "/var/log/auth.log" para entradas relacionadas à chave pública aceita para vmanage-admin de endereços IP desconhecidos ou não autorizados.
Outro indicador é a presença de eventos de peering suspeitos nos logs, incluindo conexões de pares não autorizadas que ocorrem em momentos inesperados e se originam de endereços IP não reconhecidos ou envolvem tipos de dispositivos inconsistentes com a arquitetura do ambiente.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #bypass #de #autenticação #do #controlador #cisco #catalyst #sdwan #explorado #ativamente #para #obter #acesso #de #administrador
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário