La vulnerabilidad afecta a:<\/p>\n\n\n\n
Se ha publicado recientemente una vulnerabilidad identificada como CVE\u20112026\u201120127<\/strong> es una vulnerabilidad de tipo bypass de autenticaci\u00f3n<\/strong> en el mecanismo de peering de Cisco Catalyst SD\u2011WAN Controller y Manager que permite a un atacante remoto, no autenticado, obtener privilegios administrativos<\/strong> en el plano de control SD\u2011WAN. La vulnerabilidad se debe a una validaci\u00f3n incorrecta en la autenticaci\u00f3n de peers, lo que permite el registro de un peer malicioso o el acceso a una cuenta interna de alto privilegio sin credenciales v\u00e1lidas.<\/p>\n\n\n\n La severidad es CVSS 10.0 (m\u00e1xima)<\/strong> y hay evidencia de explotaci\u00f3n activa desde al menos 2023 por parte de un grupo rastreado como UAT\u20118616<\/strong>, lo que llev\u00f3 a Cisco y a varios CERT a emitir alertas de emergencia. Un exploit exitoso permite al atacante conectarse como usuario interno privilegiado, acceder a NETCONF<\/strong> y modificar la configuraci\u00f3n de toda la SD\u2011WAN fabric<\/strong>, con impacto directo en confidencialidad, integridad y disponibilidad del tr\u00e1fico corporativo.<\/p>\n\n\n\n Clase de vulnerabilidad<\/strong><\/p>\n\n\n\n La ra\u00edz del problema est\u00e1 en que el componente que valida peers y\/o peticiones API no verifica correctamente la autenticidad de ciertos mensajes, permitiendo que un atacante remoto se presente como un peer leg\u00edtimo o abuse rutas l\u00f3gicas de autenticaci\u00f3n.<\/p>\n\n\n\n Vector y alcance<\/strong><\/p>\n\n\n\n De forma simplificada, el atacante:<\/p>\n\n\n\n Cisco y distintos vendors indican que se han observado peers maliciosos<\/strong> inyectados en el plano de control y escaladas a root posteriores al primer acceso, dentro de campa\u00f1as atribuidas a UAT\u20118616.<\/p>\n\n\n\n Mientras se eval\u00faa y ejecuta el plan de actualizaci\u00f3n, se recomiendan medidas de mitigaci\u00f3n inmediatas:<\/p>\n\n\n\n Cisco ha publicado versiones corregidas tanto para Controller como para Manager:<\/p>\n\n\n\n Antes de aplicar los parches, se recomienda validar la nueva versi\u00f3n de Cisco Catalyst SD\u2011WAN en un entorno de pre\u2011producci\u00f3n, comprobando compatibilidad con plantillas, dispositivos edge y pol\u00edticas, y asegurando backups y snapshots actualizados. Tras planificar una ventana de mantenimiento, se debe actualizar primero SD\u2011WAN Manager y luego los Controllers, siguiendo el orden indicado por Cisco, monitorizando el estado de la fabric y la convergencia de rutas despu\u00e9s del cambio. Dado que la vulnerabilidad ya se explota en el mundo real, es prudente asumir que los sistemas vulnerables expuestos antes del parche pueden haber sido comprometidos, por lo que se debe revisar la configuraci\u00f3n en busca de cambios no autorizados, rotar todas las credenciales asociadas a SD\u2011WAN (cuentas administrativas, claves, tokens de API) y buscar posibles artefactos o t\u00faneles sospechosos dentro de la fabric.<\/p>\n\n\n\n Cisco indica expl\u00edcitamente que\u00a0no hay workarounds completos<\/strong>\u00a0y que la acci\u00f3n principal es actualizar.<\/p>\n\n\n\n\n
\n
\n
\n
Mitigaci\u00f3n<\/h2>\n\n\n\n
\n
\n
\n
Soluci\u00f3n:<\/h2>\n\n\n\n
\n
\n
\n
Informaci\u00f3n adicional:<\/h2>\n\n\n\n
\n