🌟 Atualização imperdível para quem gosta de estar bem informado!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Cisco está alertando que uma falha crítica de desvio de autenticação do Catalyst SD-WAN Controller, rastreada como CVE-2026-20182, foi ativamente explorada em ataques de dia zero que permitiram que invasores obtivessem privilégios administrativos em dispositivos comprometidos.
CVE-2026-20182 tem gravidade máxima de 10.0 e afeta o Cisco Catalyst SD-WAN Controller e o Cisco Catalyst SD-WAN Manager em implantações locais e na nuvem SD-WAN.
Num comunicado publicado hoje, a Cisco disse que o problema decorre de um mecanismo de autenticação peering que “não está funcionando corretamente”.
“Esta vulnerabilidade existe porque o mecanismo de autenticação de peering em um sistema afetado não está funcionando corretamente. Um invasor pode explorar esta vulnerabilidade enviando solicitações elaboradas ao sistema afetado”, diz o comunicado Cisco CVE-2026-20182.
"Uma exploração bem-sucedida poderia permitir que o invasor fizesse login em um controlador Cisco Catalyst SD-WAN afetado como uma conta de usuário interna, de alto privilégio e não root. Usando essa conta, o invasor poderia acessar o NETCONF, o que permitiria ao invasor manipular a configuração de rede para a estrutura SD-WAN."
Cisco Catalyst SD-WAN é uma plataforma de rede baseada em software que conecta filiais, data centers e ambientes de nuvem por meio de um sistema gerenciado centralmente. Ele usa um controlador para rotear com segurança o tráfego entre sites por meio de conexões criptografadas.
A empresa afirma ter detectado ameaças explorando a falha em maio, mas não compartilhou nenhum detalhe sobre como ela foi explorada.
No entanto, os indicadores partilhados de compromisso (IOCs) alertam os administradores para verificarem eventos de peering não autorizados nos registos do controlador SD-WAN, o que pode indicar tentativas de registar dispositivos não autorizados dentro da estrutura SD-WAN.
Ao adicionar um peer não autorizado, um invasor pode inserir um dispositivo malicioso no ambiente SD-WAN que parece legítimo. Esse dispositivo poderia então estabelecer conexões criptografadas e anunciar redes sob o controle do invasor, potencialmente permitindo que ele se aprofundasse na rede de uma organização.
A falha foi descoberta pela Rapid7 enquanto pesquisava uma vulnerabilidade diferente do controlador Cisco SD-WAN, rastreada como CVE-2026-20127, que foi corrigida em fevereiro.
CVE-2026-20127 também foi explorado em ataques de dia zero por um agente de ameaça rastreado como “UAT-8616” desde 2023 para criar pares desonestos nas organizações.
A Cisco lançou atualizações de segurança para resolver a vulnerabilidade e afirma que não há soluções alternativas que mitiguem totalmente o problema.
A empresa também recomenda restringir o acesso ao gerenciamento SD-WAN e às interfaces do plano de controle apenas para redes internas confiáveis ou apenas para endereços IP autorizados, e revisar os logs de autenticação para atividades de login suspeitas.
A CISA adicionou a falha Cisco CVE-2026-20182 ao Catálogo de Vulnerabilidades Exploradas Conhecidas, ordenando que as agências federais corrijam os dispositivos afetados até 17 de maio de 2026.
Indicadores de compromisso
A Cisco está incentivando as organizações a revisarem os logs de qualquer sistema Catalyst SD-WAN Controller exposto à Internet em busca de eventos que possam indicar acesso não autorizado ou eventos de peering.
A empresa diz que os administradores devem revisar /var/log/auth.log em busca de entradas que mostrem "Chave pública aceita para vmanage-admin" de endereços IP desconhecidos:
2026-02-10T22:51:36+00:00 vm sshd[804]: Chave pública aceita para vmanage-admin da porta [PORTA REMOVIDA] ssh2: RSA SHA256:[CHAVE REMOVIDA]
Os administradores devem comparar os endereços IP nos registros com os IPs do sistema configurados listados na IU da Web do Cisco Catalyst SD-WAN Manager, em WebUI > Dispositivos > IP do sistema.
Se um endereço IP desconhecido for autenticado com êxito, os administradores deverão considerar o dispositivo comprometido e abrir um caso Cisco TAC.
A Cisco também recomenda revisar os logs do controlador SD-WAN para atividades de peering não autorizadas, pois os invasores podem tentar registrar dispositivos não autorizados na estrutura SD-WAN.
26 de julho 22:03:33 vSmart-01 VDAEMON_0 [2571]:% Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: controle-conexão-estado-mudança novo estado: up peer-type: vmanagepeer-system-ip:1.1.1.10 public-ip:192.168.3.20 porta pública: 12345 ID de domínio: 1 ID do site: 1005
A Cisco recomenda fortemente a atualização para uma versão de software fixa, pois esta é a única maneira de corrigir totalmente o CVE-2026-20182.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
CVE-2026-20182 tem gravidade máxima de 10.0 e afeta o Cisco Catalyst SD-WAN Controller e o Cisco Catalyst SD-WAN Manager em implantações locais e na nuvem SD-WAN.
Num comunicado publicado hoje, a Cisco disse que o problema decorre de um mecanismo de autenticação peering que “não está funcionando corretamente”.
“Esta vulnerabilidade existe porque o mecanismo de autenticação de peering em um sistema afetado não está funcionando corretamente. Um invasor pode explorar esta vulnerabilidade enviando solicitações elaboradas ao sistema afetado”, diz o comunicado Cisco CVE-2026-20182.
"Uma exploração bem-sucedida poderia permitir que o invasor fizesse login em um controlador Cisco Catalyst SD-WAN afetado como uma conta de usuário interna, de alto privilégio e não root. Usando essa conta, o invasor poderia acessar o NETCONF, o que permitiria ao invasor manipular a configuração de rede para a estrutura SD-WAN."
Cisco Catalyst SD-WAN é uma plataforma de rede baseada em software que conecta filiais, data centers e ambientes de nuvem por meio de um sistema gerenciado centralmente. Ele usa um controlador para rotear com segurança o tráfego entre sites por meio de conexões criptografadas.
A empresa afirma ter detectado ameaças explorando a falha em maio, mas não compartilhou nenhum detalhe sobre como ela foi explorada.
No entanto, os indicadores partilhados de compromisso (IOCs) alertam os administradores para verificarem eventos de peering não autorizados nos registos do controlador SD-WAN, o que pode indicar tentativas de registar dispositivos não autorizados dentro da estrutura SD-WAN.
Ao adicionar um peer não autorizado, um invasor pode inserir um dispositivo malicioso no ambiente SD-WAN que parece legítimo. Esse dispositivo poderia então estabelecer conexões criptografadas e anunciar redes sob o controle do invasor, potencialmente permitindo que ele se aprofundasse na rede de uma organização.
A falha foi descoberta pela Rapid7 enquanto pesquisava uma vulnerabilidade diferente do controlador Cisco SD-WAN, rastreada como CVE-2026-20127, que foi corrigida em fevereiro.
CVE-2026-20127 também foi explorado em ataques de dia zero por um agente de ameaça rastreado como “UAT-8616” desde 2023 para criar pares desonestos nas organizações.
A Cisco lançou atualizações de segurança para resolver a vulnerabilidade e afirma que não há soluções alternativas que mitiguem totalmente o problema.
A empresa também recomenda restringir o acesso ao gerenciamento SD-WAN e às interfaces do plano de controle apenas para redes internas confiáveis ou apenas para endereços IP autorizados, e revisar os logs de autenticação para atividades de login suspeitas.
A CISA adicionou a falha Cisco CVE-2026-20182 ao Catálogo de Vulnerabilidades Exploradas Conhecidas, ordenando que as agências federais corrijam os dispositivos afetados até 17 de maio de 2026.
Indicadores de compromisso
A Cisco está incentivando as organizações a revisarem os logs de qualquer sistema Catalyst SD-WAN Controller exposto à Internet em busca de eventos que possam indicar acesso não autorizado ou eventos de peering.
A empresa diz que os administradores devem revisar /var/log/auth.log em busca de entradas que mostrem "Chave pública aceita para vmanage-admin" de endereços IP desconhecidos:
2026-02-10T22:51:36+00:00 vm sshd[804]: Chave pública aceita para vmanage-admin da porta [PORTA REMOVIDA] ssh2: RSA SHA256:[CHAVE REMOVIDA]
Os administradores devem comparar os endereços IP nos registros com os IPs do sistema configurados listados na IU da Web do Cisco Catalyst SD-WAN Manager, em WebUI > Dispositivos > IP do sistema.
Se um endereço IP desconhecido for autenticado com êxito, os administradores deverão considerar o dispositivo comprometido e abrir um caso Cisco TAC.
A Cisco também recomenda revisar os logs do controlador SD-WAN para atividades de peering não autorizadas, pois os invasores podem tentar registrar dispositivos não autorizados na estrutura SD-WAN.
26 de julho 22:03:33 vSmart-01 VDAEMON_0 [2571]:% Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: controle-conexão-estado-mudança novo estado: up peer-type: vmanagepeer-system-ip:1.1.1.10 public-ip:192.168.3.20 porta pública: 12345 ID de domínio: 1 ID do site: 1005
A Cisco recomenda fortemente a atualização para uma versão de software fixa, pois esta é a única maneira de corrigir totalmente o CVE-2026-20182.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #cisco #alerta #sobre #nova #falha #crítica #de #sdwan #explorada #em #ataques #de #dia #zero
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário