Uma falha no Cisco SD-WAN permitiu que invasores transformassem uma conta administrativa comprometida em acesso root ao sistema. O ataque atingiu justamente a infraestrutura que controla conexões entre filiais, data centers e serviços em nuvem — e foi acompanhado por uma tentativa cuidadosa de apagar os rastros.
A vulnerabilidade no Cisco SD-WAN recebeu pontuação 7,8 de 10 e não pode ser explorada diretamente por qualquer pessoa na internet. Porém, quando combinada com credenciais roubadas ou outras falhas de autenticação, ela entrega ao invasor o maior nível de privilégio disponível no equipamento.
A Cisco publicou correções para o Cisco SD-WAN e atualizou seu alerta em 15 de julho. Há um detalhe decisivo para as empresas: atualizar bloqueia novas tentativas, mas não elimina automaticamente uma invasão que já ocorreu.
Neste artigo
Cisco SD-WAN sob ataque: o caso em resumo
| Item | Informação confirmada |
|---|---|
| Vulnerabilidade | CVE-2026-20245 |
| Gravidade | Alta, com CVSS 7,8 |
| Impacto | Execução de comandos com privilégios root |
| Exploração observada | Sim, durante investigação da Mandiant |
| Workaround | Não há solução alternativa |
| Correção | Atualização para versões indicadas pela Cisco |
A Mandiant identificou a atividade ao investigar um provedor de serviços. Segundo os pesquisadores, o invasor entrou na infraestrutura de Cisco SD-WAN, alterou credenciais, extraiu configurações e depois explorou a falha para alcançar o sistema operacional como root.
Em seguida, arquivos e mudanças foram removidos ou restaurados. O criminoso chegou a executar uma verificação para confirmar que os principais vestígios tinham desaparecido. Essa combinação de privilégio elevado e limpeza antiforense torna o incidente mais sério do que a pontuação isolada sugere.
O que é SD-WAN e por que o controlador é tão importante?
Uma SD-WAN usa software para controlar a comunicação entre unidades, data centers, internet e nuvem. Em vez de configurar cada roteador separadamente, a empresa administra políticas, rotas e conexões seguras por meio de componentes centrais.
Esse modelo simplifica redes distribuídas, mas concentra confiança. No Cisco SD-WAN, o Manager conhece a topologia, mantém configurações e participa da administração de diversos dispositivos. Se o plano de controle for comprometido, o ataque pode alcançar muito mais do que uma única máquina.
Bancos, varejistas, hospitais, empresas de tecnologia e organizações com muitas filiais são usuários típicos dessa arquitetura. Para um invasor interessado em espionagem ou persistência, o controlador funciona como um ponto privilegiado de observação.
Como o ataque aconteceu
A investigação do Cisco SD-WAN descreve uma cadeia com várias etapas. O invasor não começou usando diretamente a CVE-2026-20245. Primeiro, conexões não autorizadas apareceram no ambiente e uma conta administrativa foi utilizada para acessar o sistema.
- Um componente não autorizado estabeleceu uma relação de confiança com a infraestrutura.
- O invasor conseguiu entrar por SSH com uma conta administrativa.
- A senha da conta padrão foi alterada temporariamente.
- Configurações da malha SD-WAN foram consultadas e extraídas.
- Um arquivo CSV preparado para explorar a falha foi enviado ao controlador.
- A vulnerabilidade elevou o acesso administrativo para root.
- Arquivos e alterações foram removidos para reduzir os indícios da atividade.

A imagem explica a sequência sem reproduzir o código do exploit. O ponto principal é que a falha de elevação de privilégio aparece no meio de uma invasão maior. Corrigi-la é essencial, mas a defesa também precisa identificar como a conta e a relação de confiança foram obtidas.
Por que a pontuação 7,8 pode enganar
No Cisco SD-WAN, a CVE-2026-20245 exige que o atacante já tenha privilégios administrativos locais. Essa condição reduz a pontuação porque a falha, sozinha, não oferece uma entrada anônima pela internet.
O risco muda quando outras vulnerabilidades entram na equação. A Cisco relaciona duas falhas anteriores, CVE-2026-20127 e CVE-2026-20182, a caminhos conhecidos para obtenção das credenciais necessárias. Material de certificado roubado e senhas comprometidas também podem cumprir esse papel.
Em uma cadeia real, o atacante combina a primeira brecha com a elevação de privilégios. O resultado é controle root sobre componentes centrais do Cisco SD-WAN, acesso a informações sensíveis da rede e capacidade de alterar o ambiente com poucos sinais visíveis.
Quais produtos e ambientes são afetados?
O alerta do Cisco SD-WAN abrange o Catalyst SD-WAN Controller, anteriormente chamado vSmart; o Catalyst SD-WAN Manager, antigo vManage; e o Catalyst SD-WAN Validator, antes conhecido como vBond.
A orientação de remediação considera implantações locais, Cisco SD-WAN Cloud-Pro, ambientes gerenciados pela Cisco e ofertas governamentais. Portanto, a empresa não deve presumir que a responsabilidade desaparece porque parte do serviço está hospedada.
Roteadores de borda com IOS XE não são diretamente afetados por essa vulnerabilidade. No entanto, a Cisco observou casos limitados nos quais mudanças de configuração foram enviadas aos equipamentos de borda após a exploração do plano de controle. Essas configurações também precisam ser verificadas.
Versões corrigidas pela Cisco
A Mandiant recomenda atualizar os componentes de Cisco SD-WAN para uma das versões corrigidas ou qualquer lançamento posterior compatível:
- 20.9.9.2 ou posterior;
- 20.12.7.2 ou posterior;
- 20.15.4.5 ou posterior;
- 20.15.5.3 ou posterior;
- 20.18.3.1 ou posterior;
- 26.1.1.2 ou posterior.
Não existe workaround informado no boletim de segurança. A versão correta depende da linha utilizada, do contrato de suporte e da matriz de compatibilidade do ambiente. A equipe deve consultar o alerta atualizado da Cisco antes da mudança, pois versões e orientações podem ser revisadas.
Por que apenas atualizar pode não bastar
Uma atualização corrige o código vulnerável, mas não responde a três perguntas: o invasor já entrou, criou outra forma de persistência ou alterou dispositivos conectados? Se a resposta for desconhecida, considerar o caso encerrado depois do reboot pode preservar o acesso criminoso.
A própria Cisco afirma que a atualização não resolve um comprometimento confirmado. Quando os indicadores aparecem, o fornecedor recomenda abrir um caso com o Technical Assistance Center para análise e orientação específica.
Isso também explica por que registros devem ser coletados antes de qualquer ação que possa sobrescrevê-los. O atacante observado pela Mandiant apagou arquivos, restaurou senhas e removeu mudanças. A ausência de um arquivo malicioso, sozinha, não prova que nada aconteceu.
Sinais que a equipe deve procurar
- Conexões de peering não reconhecidas ou originadas de endereços inesperados.
- Acessos SSH externos com contas administrativas padrão.
- Alterações de senha seguidas rapidamente por restauração do valor anterior.
- Consultas incomuns às configurações e aos controladores da malha.
- Uso inesperado da função de envio de listas de tenants em CSV.
- Criação de contas locais ou mudança para usuários com privilégios root.
- Lacunas, exclusões ou alterações suspeitas nos registros de autenticação e scripts.
- Configurações enviadas aos roteadores de borda sem uma mudança aprovada.
Algumas dessas ações também podem ocorrer durante administração legítima. A análise precisa comparar horário, origem, usuário, chamado de mudança e comportamento histórico. Uma busca cega por apenas um nome de arquivo corre o risco de ignorar variantes ou a limpeza realizada pelo invasor.
Plano de resposta recomendado
- Inventarie: identifique todos os componentes, versões, modelos de hospedagem e responsáveis pelo ambiente.
- Preserve evidências: colete o pacote admin-tech e os registros relevantes antes da atualização.
- Faça a busca: procure relações de confiança desconhecidas, logins, mudanças de senha e comandos administrativos anormais.
- Atualize: instale a versão corrigida indicada para cada linha de software.
- Revise identidades: troque credenciais, verifique certificados e reduza contas administrativas ao mínimo necessário.
- Valide a borda: compare configurações dos roteadores com o estado aprovado.
- Escale o incidente: encaminhe sinais confirmados ou suspeitos ao Cisco TAC e à equipe de resposta.
- Monitore: mantenha alertas reforçados para novas tentativas e mudanças no plano de controle.
O caso reforça uma tendência: equipamentos de rede são alvos valiosos porque nem sempre executam o mesmo EDR instalado em servidores e estações. Para entender por que vulnerabilidades exploradas exigem prioridade, veja também a análise sobre a atualização da Microsoft que corrigiu três falhas zero-day.
Perguntas frequentes
A falha pode ser explorada sem autenticação?
A CVE-2026-20245 exige uma conta com privilégios administrativos. Contudo, credenciais roubadas ou outras vulnerabilidades de autenticação podem fornecer esse acesso inicial.
Trocar a senha do Cisco SD-WAN resolve o problema?
Não. A troca de senha é uma etapa importante, mas deve ser acompanhada por atualização, revisão de certificados, análise dos registros e busca por persistência.
Os roteadores Cisco Catalyst comuns estão vulneráveis?
O boletim trata dos componentes de controle do Cisco SD-WAN. Roteadores IOS XE não são diretamente afetados pela falha, embora configurações enviadas a eles durante uma invasão devam ser revisadas.
A atualização do Cisco SD-WAN remove um invasor?
Não necessariamente. Ela impede a exploração da vulnerabilidade corrigida, mas um incidente já estabelecido exige investigação e remediação próprias.
Fontes
- Cisco — boletim da CVE-2026-20245
- Cisco — fluxo oficial de remediação do Catalyst SD-WAN
- Mandiant — investigação da exploração zero-day
- Cisco — lista de alertas de segurança do SD-WAN
Imagens: criações editoriais originais por inteligência artificial para o Chamada TI. Os elementos representam uma infraestrutura genérica e não reproduzem interfaces ou diagramas proprietários da Cisco.