La seguridad de los sistemas SD-WAN de Cisco está en riesgo ante un nuevo fallo de seguridad zero-day que ya está siendo explotado por atacantes. Cisco ha emitido un aviso reciente acerca de la vulnerabilidad CVE-2026-20245 en su software Catalyst SD-WAN Manager, revelando que delincuentes desconocidos aprovechan esta brecha desde hace al menos una semana, sin que se haya anunciado una solución definitiva.
La causa del problema radica en un error de validación que impide al software verificar adecuadamente datos proporcionados por el usuario. Un atacante con acceso autenticado en local, con privilegios de administrador de red, puede cargar archivos maliciosos especialmente diseñados que permiten escalar privilegios hasta obtener control total del sistema con permisos de root.
Este fallo afecta a todas las versiones del software SD-WAN, sin importar su configuración ni el entorno de despliegue —ya sea local, en la nube o en implementaciones certificadas FedRAMP. Cisco aseguró que para explotar esta vulnerabilidad es necesario disponer de credenciales válidas o aprovechar otras vulnerabilidades previas (CVE-2026-20182 y CVE-2026-20127), ambas también atacadas en meses recientes.
La noticia positiva es que los atacantes requieren acceso legítimo para sacar partido de esta vulnerabilidad; sin embargo, la realidad es que credenciales comprometidas o vulnerables circulan frecuentemente en la red, facilitando el abuso. Por ahora, Cisco no ha concretado la extensión o momento exacto del inicio de los ataques y pidió a los usuarios consultar con su equipo de soporte TAC en caso de necesitar ayuda.
Esta es la sexta vulnerabilidad en el entorno SD-WAN de Cisco detectada bajo ataques desde comienzos de año y la segunda zero-day en apenas dos meses. En mayo se informó de otra grave (CVE-2026-20182) que también fue explotada antes de salir el parche. Cisco afronta desde febrero una serie de alertas y actualizaciones para corregir fallos críticos en su plataforma SD-WAN, que es objetivo frecuente de grupos maliciosos a nivel global.
Las agencias de ciberseguridad internacionales advierten que estas vulnerabilidades permiten a los atacantes ganar acceso persistente y control a nivel raíz en los sistemas afectados, poniendo en riesgo la infraestructura de numerosas organizaciones. Además, Cisco alertó recientemente sobre una prueba de concepto de exploit para otra vulnerabilidad crítica en su Unified Communications Manager, que podría ser el próximo foco de explotación.
