Hackers estão explorando uma falha zero-day no Cisco Catalyst SD-WAN Manager para obter acesso com privilégios máximos em ambientes corporativos. A vulnerabilidade, identificada como CVE-2026-20245, afeta a interface de linha de comando da solução. O caso foi observado em uma campanha contra a infraestrutura SD-WAN de um grande provedor de serviços.
Segundo a investigação, os invasores partiram de contas administrativas já comprometidas para ampliar o controle sobre os sistemas afetados. A falha permite que um usuário autenticado com permissões administrativas envie um arquivo especialmente criado e execute comandos com privilégios elevados. Na prática, isso pode dar controle total sobre o plano de gerenciamento da rede.
A campanha teve duas fases. Entre o fim de 2025 e janeiro de 2026, os atacantes teriam criado conexões não autorizadas com dispositivos SD-WAN Manager, possivelmente explorando falhas de autenticação ainda não corrigidas naquele período.
A partir de março de 2026, o grupo voltou a estabelecer conexões fraudulentas e acessou o ambiente por SSH usando uma conta padrão. Depois, alterou temporariamente senhas administrativas, entrou na interface web e copiou configurações de dispositivos. Os dados acessados incluíam modelos de configuração e informações em execução nos equipamentos de borda.
A Cisco disponibilizou as correções para versões afetadas do Catalyst SD-WAN Manager.
