Cisco advirtió sobre una vulnerabilidad crítica, CVE-2026-20245, en Catalyst SD-WAN Manager (la antigua vManage) que ya se está explotando en ataques reales y que, al momento del reporte, no tenía parche disponible. La falla permite escalar privilegios hasta root y afecta a todos los tipos de despliegue: on-premise, en la nube y en entornos FedRAMP.
Qué es la falla
Se trata de una inyección de comandos por validación incorrecta de entradas en la interfaz de línea de comandos del producto, con una puntuación CVSS de 7.8 (alta). Un atacante que ya cuente con privilegios de netadmin —por credenciales válidas o encadenando otras vulnerabilidades— puede aprovecharla para ejecutar comandos como root y, desde ahí, empujar cambios de configuración a los dispositivos de borde de la red.
Alcance y estado de explotación
Según Cisco, la falla afecta a todas las versiones de Catalyst SD-WAN Manager en sus distintas modalidades de despliegue. La compañía confirmó que hay explotación activa, con casos observados en los que los atacantes ya empujaron cambios de configuración a equipos de la red. La vulnerabilidad fue reportada por investigadores de Mandiant (Google Cloud).
El dato incómodo: al publicarse el aviso, Cisco indicó que no había parche ni workaround disponibles, y que la corrección llegaría en una versión futura sin fecha estimada. Es decir, durante una ventana de tiempo las organizaciones afectadas quedan expuestas sin una solución directa para aplicar.
Qué hacer mientras tanto
La guía de Cisco, ante la falta de parche, pasa por la vigilancia y la respuesta:
- Recolectar datos forenses con
admin-techpara detectar señales de compromiso. - Restringir y auditar quién tiene privilegios de
netadmin, dado que es el prerrequisito del ataque. - Monitorear cambios de configuración inesperados empujados a los dispositivos de borde.
- Planificar la actualización apenas Cisco libere la versión corregida y verificar la integridad del sistema después de aplicarla.
Cuando el equipo de red es la puerta de entrada
Un gestor de SD-WAN comprometido es de los peores escenarios: desde ahí se controla la configuración de toda la red. Que la explotación esté activa y sin parche obliga a tratar esto como prioridad, sobre todo en infraestructuras que dependen de Cisco para conectar sucursales y nube. ¿Tu organización tiene SD-WAN de Cisco en producción y un plan para reaccionar a 0-days sin parche, o se confía en que «ya saldrá la actualización»? Te leemos en los comentarios.
Fuentes
- Cisco Security Advisory — Catalyst SD-WAN Manager Privilege Escalation
- The Hacker News — Cisco Catalyst SD-WAN Manager CVE-2026-20245
- BleepingComputer — New Cisco SD-WAN flaw exploited in zero-day attacks
