CVE-2026-20128 e CVE-2026-20122: vulnerabilidades no Cisco Catalyst SD-WAN Manager podem expor sistemas corporativos

This post is also available in: Português

As vulnerabilidades CVE-2026-20128 e CVE-2026-20122, identificadas no Cisco Catalyst SD-WAN Manager, chamaram a atenção da comunidade de segurança após relatos de exploração ativa em ambientes reais. Ambas afetam componentes críticos da plataforma de gerenciamento de redes definidas por software da Cisco e podem permitir que invasores autenticados elevem privilégios ou manipulem arquivos no sistema.

Enquanto a CVE-2026-20128 envolve a exposição de credenciais armazenadas no sistema, possibilitando a escalada de privilégios, a CVE-2026-20122 está relacionada ao tratamento inadequado de arquivos na API da plataforma, permitindo a sobrescrita arbitrária de arquivos. Dependendo do contexto de exploração, essas falhas podem representar um risco significativo para ambientes corporativos que utilizam a solução para gerenciar redes distribuídas.

A seguir, entenda em detalhes como essas vulnerabilidades funcionam, quais sistemas são afetados e quais medidas devem ser adotadas para reduzir os riscos.

O que é a Cisco?

A Cisco é uma das maiores empresas de tecnologia do mundo, amplamente conhecida por suas soluções de infraestrutura de rede, segurança, colaboração e data center. Seus produtos estão presentes em milhares de organizações globais, incluindo empresas, governos e provedores de serviços.

Entre suas soluções mais estratégicas está a arquitetura SD-WAN (Software-Defined Wide Area Network), que permite gerenciar redes corporativas distribuídas de forma centralizada, automatizada e baseada em software. Esse modelo é amplamente adotado por empresas que operam com múltiplas filiais ou ambientes híbridos e multinuvem.

Cisco Catalyst SD-WAN Manager: o que é e qual sua função

O Cisco Catalyst SD‑WAN Manager é a plataforma de gerenciamento central da arquitetura Cisco SD-WAN. Ele é responsável por orquestrar e administrar dispositivos de rede, políticas, telemetria e automações dentro da infraestrutura.

Entre suas principais funções estão:

Gerenciamento centralizado da rede SD-WAN;
Monitoramento de desempenho e conectividade;
Automação de políticas de segurança e roteamento;
Coleta e análise de telemetria da rede.

Por ser o ponto central de controle da infraestrutura, qualquer vulnerabilidade nessa plataforma pode ter impacto significativo na segurança e na disponibilidade da rede corporativa.

CVE-2026-20128: divulgação de informações e escalada de privilégios

A CVE-2026-20128 é uma vulnerabilidade classificada com pontuação CVSS 7.5, considerada de severidade alta. A falha ocorre no recurso Data Collection Agent (DCA) do Cisco Catalyst SD-WAN Manager.

O problema está relacionado à presença de um arquivo que armazena credenciais do usuário do DCA diretamente no sistema afetado. Esse armazenamento inseguro permite que um usuário autenticado com privilégios limitados acesse o sistema de arquivos e leia o conteúdo do arquivo que contém a senha do agente.

Com essas credenciais em mãos, o atacante pode utilizar o acesso para interagir com outros sistemas afetados e obter privilégios associados ao usuário do DCA.

Como a exploração acontece

Para explorar a vulnerabilidade, o invasor precisa possuir credenciais válidas do vManage no sistema, ter acesso local ao sistema com privilégios baixos, localizar e ler o arquivo que contém a senha do usuário do DCA.

Uma vez obtida a credencial, o invasor pode utilizá-la para acessar outros componentes da infraestrutura e ampliar seu nível de acesso dentro do ambiente.

Classificação da falha e sistemas afetados

A vulnerabilidade está associada ao padrão CWE-257, que descreve situações em que senhas são armazenadas de forma recuperável em sistemas, permitindo que sejam obtidas diretamente por usuários não autorizados.

A falha afeta determinadas versões do Cisco Catalyst SD-WAN Manager. Segundo a Cisco, as versões 20.18 e posteriores não são vulneráveis, indicando que o problema foi corrigido nas versões mais recentes da plataforma.

CVE-2026-20122: sobrescrita arbitrária de arquivos via API

A CVE-2026-20122 recebeu pontuação CVSS 5.4, sendo classificada como vulnerabilidade de severidade média. Apesar da pontuação menor, a falha também pode gerar impactos relevantes dependendo do contexto de exploração.

O problema está na API do Cisco Catalyst SD-WAN Manager, que realiza o processamento inadequado de arquivos enviados ao sistema.

Esse comportamento permite que um atacante autenticado carregue um arquivo malicioso capaz de sobrescrever arquivos existentes no sistema de arquivos local.

Como ocorre o ataque

Para explorar essa vulnerabilidade, o invasor precisa possuir credenciais válidas com acesso de leitura à API do sistema e enviar um arquivo especialmente manipulado por meio da interface da API.

Se a exploração for bem-sucedida, o invasor pode sobrescrever arquivos arbitrários no sistema. Dependendo do arquivo afetado, isso pode permitir a obtenção de privilégios de usuário vManage, ampliando significativamente o acesso dentro da plataforma.

Classificação da falha

Essa vulnerabilidade está relacionada ao CWE-648, que descreve falhas associadas ao uso inadequado de mecanismos de autenticação e controle de acesso em APIs e interfaces administrativas.

Exploração ativa aumenta o nível de risco

Diversos relatórios de segurança indicam que as vulnerabilidades já estão sendo exploradas em ataques reais. Pesquisadores e organizações de segurança alertaram que dispositivos expostos ou não atualizados podem ser rapidamente comprometidos por invasores.

Como o Cisco Catalyst SD-WAN Manager atua como ponto central de gerenciamento da rede, uma exploração bem-sucedida pode permitir que atacantes obtenham acesso privilegiado ao sistema de gerenciamento, manipulem arquivos críticos do ambiente e ampliem o alcance do ataque dentro da infraestrutura de rede.

Isso torna a correção dessas falhas especialmente importante em ambientes corporativos que dependem da solução para operar redes distribuídas.

Mitigações e recomendações de segurança

A principal recomendação é aplicar as atualizações disponibilizadas pela Cisco o mais rapidamente possível. A empresa confirmou que versões 20.18 ou posteriores do Catalyst SD-WAN Manager já corrigem a CVE-2026-20128.

Além da atualização da plataforma, organizações devem adotar medidas adicionais para reduzir a superfície de ataque, como revisar permissões de acesso, limitar o uso de contas com privilégios elevados e monitorar atividades suspeitas no sistema.

Também é importante restringir o acesso às interfaces administrativas e APIs da plataforma apenas a usuários e sistemas autorizados, reduzindo as chances de exploração por atacantes que obtenham credenciais válidas.

This post is also available in: Português

Diagnóstico que avalia a nível de conformidade com a Lei Geral de Proteção de Dados

Fazer diagnóstico

Ebooks 5 Dicas para evitar sequestro de dados

Nossas 5 dicas fundamentais para evitar sequestro de dados

Baixar eBook

Ebooks 10 dicas essenciais para aquisição de firewalls

Conheça os principais tópicos a serem considerados na aquisição de um firewall.

Baixar eBook

Ebooks Guia Lei Geral de Proteção de Dados

Documento completo para ambientalização à Lei Geral de Proteção de Dados

Baixar eBook

O que é a Cisco?

Cisco Catalyst SD-WAN Manager: o que é e qual sua função

CVE-2026-20128: divulgação de informações e escalada de privilégios

Como a exploração acontece

Classificação da falha e sistemas afetados

CVE-2026-20122: sobrescrita arbitrária de arquivos via API

Como ocorre o ataque

Classificação da falha

Exploração ativa aumenta o nível de risco

Mitigações e recomendações de segurança

CVE-2026-21902: vulnerabilidade no Junos OS Evolved permite execução remota de código como root em roteadores PTX

Cadastre-se em nossa newsletter