Cisco corrige vulnerabilidade crítica explorada por grupo de ameaças persistente

Um grupo de ameaças persistente está explorando ativamente uma vulnerabilidade crítica de autenticação (CVE-2026-20182) em dispositivos Cisco Catalyst SD-WAN Controller e Manager, segundo alerta da fabricante publicado nesta quinta-feira (15). A falha, classificada com pontuação máxima de 10 no Common Vulnerability Scoring System (CVSS), permite que invasores obtenham acesso administrativo total sem validação adequada.

Douglas McKee, diretor de inteligência de vulnerabilidades da Rapid7, comparou a exploração da vulnerabilidade a um "truque da mente Jedi", onde o atacante se apresenta como um roteador de rede confiável para burlar os sistemas de segurança. A empresa de cibersegurança descobriu e reportou a falha à Cisco em 9 de março, mas a fabricante só tomou conhecimento de ataques limitados no início deste mês.

A Cisco lançou um patch para corrigir a vulnerabilidade e a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou a falha ao seu catálogo de vulnerabilidades exploradas. No entanto, a empresa não esclareceu o que ocorreu no intervalo de dois meses entre a descoberta e a divulgação pública.

Impacto e contexto das ameaças

Desde fevereiro, clientes da Cisco enfrentam uma onda de vulnerabilidades ativamente exploradas em seus sistemas de borda de rede. A fabricante não é a única vítima de ataques intensos, mas está entre as mais visadas. Em menos de três meses, a CISA adicionou sete vulnerabilidades relacionadas a Cisco SD-WAN e firewalls ao seu catálogo de falhas exploradas.

Pesquisadores da Cisco Talos atribuíram os recentes ataques a um grupo identificado como UAT-8616, responsável por explorar duas outras zero-days em softwares de borda de rede da Cisco por pelo menos três anos, até serem descobertos em fevereiro. A exploração da nova vulnerabilidade continua em andamento, e a empresa não respondeu perguntas sobre as origens ou motivações do grupo.

"Recomendamos fortemente que os clientes apliquem as versões de software corrigidas e sigam as orientações fornecidas nos comunicados e no blog da Cisco Talos."

Porta-voz da Cisco

Risco de exploração em cadeia

A Cisco Talos alertou ainda que o grupo UAT-8616 e pelo menos outros dez grupos de ameaças estão explorando em cadeia três vulnerabilidades não corrigidas no Cisco Catalyst SD-WAN Infrastructure. As falhas — CVE-2026-20122, CVE-2026-20128 e CVE-2026-20133 — tiveram seus patches lançados em fevereiro.

A Rapid7 descobriu a vulnerabilidade crítica de autenticação enquanto pesquisava a CVE-2026-20127, outra zero-day identificada e confirmada como explorada pelo grupo UAT-8616 pelo Five Eyes no final de 2025. Autoridades e a Cisco aguardaram pelo menos dois meses para divulgar e corrigir a falha, além de compartilhar orientações emergenciais de mitigação. Essa campanha, iniciada há pelo menos três anos, representa a segunda série de zero-days exploradas ativamente na Cisco.