Siete zero-days en un año: la infraestructura SD-WAN de Cisco en el ojo del huracán
El 5 de junio de 2026, Cisco divulgó CVE-2026-20245, una nueva vulnerabilidad zero-day que afecta a Cisco Catalyst SD-WAN Manager. Ya está siendo explotada activamente en entornos reales y, por el momento, no existe ningún parche disponible. Se trata del séptimo zero-day con explotación activa detectado en la suite SD-WAN de Cisco desde comienzos de año. Una cadencia que no puede pasarse por alto.
Una falla de escalada de privilegios sin red de seguridad
CVE-2026-20245 se origina en una validación insuficiente de las entradas de usuario en la interfaz de línea de comandos (CLI) de Cisco Catalyst SD-WAN Manager. Un atacante que cuente con privilegios de netadmin puede cargar un archivo malicioso en el sistema y ejecutar comandos arbitrarios como root, el nivel de control más elevado en cualquier sistema Linux. La puntuación CVSS asignada es de 7,8 sobre 10.
La vulnerabilidad impacta todos los modos de despliegue: instalaciones on-premises, entornos Cloud-Pro, plataformas gestionadas por Cisco y despliegues gubernamentales bajo el esquema FedRAMP. Ningún segmento de clientes queda a salvo. Cisco ya ha confirmado casos de explotación activa, con modificaciones de configuración forzadas en equipos edge, lo que demuestra que los atacantes no se limitan a observar: están manipulando la red de forma deliberada.
Un ataque en dos fases, cuidadosamente orquestado
Lo que hace a CVE-2026-20245 especialmente preocupante es su encaje dentro de una cadena de explotación más amplia. La falla requiere acceso autenticado con derechos de netadmin, un requisito previo que los atacantes ya han demostrado poder satisfacer encadenando otras vulnerabilidades SD-WAN.
CVE-2026-20182, divulgada en mayo de 2026 con una puntuación CVSS de 10 —el máximo posible—, permitía a un atacante no autenticado eludir completamente la autenticación para obtener acceso administrativo. Fue explotada por un grupo identificado como UAT-8616, al que Cisco Talos describe como un actor «altamente sofisticado» y que lleva siendo monitorizado desde al menos 2023. Ese grupo llegó a añadir claves SSH, modificar configuraciones NETCONF y escalar hasta privilegios root.
CVE-2026-20245, descubierta por investigadores de Mandiant, continúa esta misma lógica: obtener acceso inicial mediante una falla de autenticación y consolidar el control a través de la escalada de privilegios. Es la táctica característica de los actores avanzados (APT) que apuntan a infraestructuras de red críticas.
Cero parches, cero medidas de mitigación
La situación resulta especialmente incómoda porque no existe ningún parche disponible en este momento. Cisco promete una corrección en «una versión futura» sin precisar plazos, y no se ha documentado ninguna medida de mitigación alternativa.
Ante este escenario, Cisco recomienda a los equipos de TI que:
- Revisen los registros de los equipos SD-WAN Manager en busca de actividades sospechosas o modificaciones de configuración no autorizadas.
- Recopilen los logs de diagnóstico mediante el comando
request admin-techantes de cualquier actualización o investigación en profundidad. - Contacten con el Cisco TAC (Technical Assistance Center) ante cualquier sospecha de compromiso, para obtener un análisis adaptado al entorno específico de su organización.
SD-WAN: una superficie de ataque de valor estratégico
La acumulación de estos incidentes pone de manifiesto que las plataformas SD-WAN se han convertido en objetivos prioritarios para los grupos de atacantes avanzados. Estas soluciones concentran en un único punto la gestión de toda la red de área extensa de una organización: quien accede a ellas obtiene visibilidad y control sobre la totalidad del tráfico corporativo.
Para los CIO y CISO, el mensaje es inequívoco: los equipos de red han dejado de ser una capa pasiva de la infraestructura. Constituyen una superficie de ataque activa, en el punto de mira de actores que disponen del tiempo, los recursos y la capacidad técnica para encadenar múltiples vulnerabilidades. Mantener una vigilancia estrecha sobre los avisos de seguridad de Cisco, endurecer las configuraciones de acceso al plano de gestión y segmentar rigurosamente los derechos de administración SD-WAN ya no son buenas prácticas opcionales: son imperativos operacionales.