2026-02 - RunkIntel

# Arquivo: Feed CTI 2026-02 > Arquivo histórico do Feed de Inteligência CTI. --- ## 03 fev 2026 ### 🟧 P2 | ShinyHunters · Breach da CarGurus Expõe 1,7 Milhão de Contas 📅 03 fev · Score **70** O grupo [[shinyhunters|ShinyHunters]] reivindicou a violação da **CarGurus**, marketplace automotivo online dos EUA, publicando dados pessoais de mais de 1,7 milhão de contas. O mesmo grupo é responsável pelo breach da Match Group (10 milhões de registros) e da Figure Technology Solutions (967.200 contas) - o padrão de exfiltração massiva seguida de publicação de dados sob pressão de resgaté continua sendo a tática primária. **TTPs:** [[t1530-data-from-cloud-storage|T1530]] · [[t1567-exfiltration-over-web-service|T1567]] · [[t1657-financial-theft|T1657]] **Atores:** [[shinyhunters|ShinyHunters]] **Setores:** [[critical-infrastructure|Automotivo]] · [[technology|Tecnologia]] **Mitigação:** Notificar usuários afetados e forçar reset de senhas. Implementar monitoramento de credenciais expostas em dark web para a base CarGurus. Revisar controles de acesso a buckets de armazenamento cloud - vetor primário do ShinyHunters. **Fontes:** [1](https://securityboulevard.com/2026/03/top-data-breaches-of-february-2026/) [2](https://www.pkware.com/blog/2026-data-breaches) --- --- ## 04 fev 2026 ### 🟥 P1 | VMware ESXi Ransomware · Toolkit MAESTRO Explora Trio de Zero-Days desde 2024 📅 04 fev · `CVSS 9.3` `KEV` `Exploração Ativa` · Score **87** A Huntress identificou o toolkit [[maestro-toolkit|MAESTRO]], com caminhos de desenvolvimento em idioma chinês, explorando o trio de zero-days VMware ESXi - [[cve-2025-22224|CVE-2025-22224]] (CVSS 9.3, heap overflow HGFS), [[cve-2025-22225|CVE-2025-22225]] (CVSS 8.2, arbitrary write no kernel) e [[cve-2025-22226|CVE-2025-22226]] (CVSS 7.1, information leak VMCI) - como zero-days desde aproximadamente fevereiro de 2024. A cadeia completa de escape de VM inclui leak de memória HGFS, corrupção de memória VMCI e write arbitrário no kernel do ESXi, culminando no backdoor VSOCKpuppet para persistência - a CISA atualizou o KEV para sinalizar uso confirmado em campanhas de ransomware. Para a América Latina, o VMware ESXi é ubíquo em infraestruturas de virtualização corporativas e governamentais, tornando a ameaça especialmente relevante para a região. **TTPs:** [[t1068-exploitation-for-privilege-escalation|T1068]] · [[t1190-exploit-public-facing-application|T1190]] · [[t1486-data-encrypted-for-impact|T1486]] **Setores:** [[technology|Corporativo]] · [[government|Governo]] · [[critical-infrastructure|Infraestrutura Crítica]] **Mitigação:** Aplicar o patch do VMware para [[cve-2025-22224|CVE-2025-22224]], [[cve-2025-22225|CVE-2025-22225]] e [[cve-2025-22226|CVE-2025-22226]] imediatamente. Verificar VMs ESXi por backdoor VSOCKpuppet. Inspecionar arquivos com extensão `.ENCRT` - possível infecção ativa. Isolar hosts ESXi da internet durante remediação. **Fontes:** [1](https://www.bleepingcomputer.com/news/security/cisa-vmware-esxi-flaw-now-exploited-in-ransomware-attacks/) [2](https://www.helpnetsecurity.com/2026/02/05/cisa-CVE-2025-22225-ransomware-exploitation/) [3](https://thehackernews.com/2026/01/chinese-linked-hackers-exploit-vmware.html) --- --- ## 07 fev 2026 ### 🟥 P1 | Warlock Ransomware Compromete SmarterTools · Zero-Days no Próprio Produto do Vendor 📅 07 fev · `CVSS 10.0` `KEV` `Exploração Ativa` · Score **86** O grupo [[warlock-ransomware|Warlock]] (também rastreado como Storm-2603 e Gold Salem, com vínculos à China) comprometeu a própria **SmarterTools** explorando zero-days no SmarterMail - [[cve-2026-23760|CVE-2026-23760]] (CVSS 9.8) e [[cve-2026-24423|CVE-2026-24423]] (CVSS 10.0) - numa demonstração irônica de vendor comprometido via vulnerabilidade em seu próprio produto. Doze servidores Windows foram comprometidos com takeover completo do Active Directory e exfiltração de 1,2 milhão de documentos, enquanto a watchTowr observou mais de 1.000 tentativas de exploração originadas de 60 IPs distintos. A [[cve-2026-24423|CVE-2026-24423]] foi adicionada ao CISA KEV em 5 de fevereiro, confirmando exploração massiva - o caso ilustra que vendors de software são alvos de alto valor para operações de ransomware sofisticadas. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1078-valid-accounts|T1078]] · [[t1486-data-encrypted-for-impact|T1486]] **Atores:** [[warlock-ransomware|Warlock (Storm-2603)]] **Setores:** [[technology|Tecnologia]] · [[technology|Corporativo]] **Mitigação:** Aplicar patches do SmarterMail para [[cve-2026-23760|CVE-2026-23760]] e [[cve-2026-24423|CVE-2026-24423]] imediatamente. Restringir acesso à interface web de administração por IP. Auditar Active Directory por contas criadas ou elevadas ilegitimamente desde 17 de janeiro de 2026. **Fontes:** [1](https://thehackernews.com/2026/02/warlock-ransomware-breaches.html) [2](https://www.helpnetsecurity.com/2026/02/09/smartertools-breach-smartermail-vulnerability/) --- --- ## 10 fev 2026 ### 🟧 P2 | CISA KEV Fevereiro · 6 Vulnerabilidades Microsoft Exploradas por Atores de Estado 📅 10 fev · `KEV` `Exploração Ativa` `Zero-Day` · Score **88** A CISA adicionou 6 vulnerabilidades zero-day da [[_microsoft|Microsoft]] ao catálogo KEV, confirmando exploração ativa por atores de estado-nação. As falhas afetam Microsoft Office e componentes do Windows, com prazo de remediação até 3 de março de 2026. A confirmação de exploração por grupos estatais eleva a prioridade para todas as organizações - especialmente governos e infraestrutura crítica. **TTPs:** [[t1203-exploitation-client-execution|T1203]] · [[t1068-exploitation-for-privilege-escalation|T1068]] · [[t1078-valid-accounts|T1078]] **Setores:** [[government|Governo]] · [[critical-infrastructure|Infraestrutura Crítica]] **Mitigação:** Aplicar todos os patches do Patch Tuesday de fevereiro 2026 imediatamente (prazo KEV: 3 de março). Monitorar indicadores de comprometimento por atores de estado-nação nos sistemas Microsoft Office e Windows. Priorizar organizações governamentais e de infraestrutura crítica. **Fontes:** [1](https://www.cisa.gov/news-events/alerts/2026/02/10/cisa-adds-six-known-exploited-vulnerabilities-catalog) [2](https://www.hackerstorm.com/index.php/articles/our-blog/hackerstorm/microsoft-zero-days-cisa-active-exploitation) --- --- ## 11 fev 2026 ### 🟥 P1 | Patch Tuesday Fevereiro 2026 · Microsoft Corrige 6 Zero-Days Ativamente Explorados 📅 11 fev · `KEV` `Exploração Ativa` `Zero-Day` · Score **92** O Patch Tuesday de fevereiro 2026 da [[_microsoft|Microsoft]] corrigiu 58 falhas incluindo 6 zero-days ativamente explorados e 3 divulgados publicamente: [[cve-2026-21533|CVE-2026-21533]] (EoP em Remote Desktop Services), [[cve-2026-21510|CVE-2026-21510]] (bypass SmartScreen no Windows Shell), [[cve-2026-21513|CVE-2026-21513]] (bypass MSHTML explorado pelo [[g0007-apt28|APT28]]), [[cve-2026-21514|CVE-2026-21514]] (bypass em Microsoft Word), além de duas outras EoP críticas. A CISA adicionou todos os 6 ao KEV com prazo até 3 de março. A vinculação do [[cve-2026-21513|CVE-2026-21513]] ao APT28 (GRU russa) eleva a gravidade - campanhas de espionagem de estado exploram ativamente vulnerabilidades Microsoft como vetor preferencial. **TTPs:** [[t1203-exploitation-client-execution|T1203]] · [[t1566-phishing|T1566]] · [[t1068-exploitation-for-privilege-escalation|T1068]] · [[t1078-valid-accounts|T1078]] **Atores:** [[g0007-apt28|APT28]] **Setores:** [[government|Governo]] · [[defense|Defesa]] · [[critical-infrastructure|Infraestrutura Crítica]] **Mitigação:** Aplicar o Patch Tuesday de fevereiro 2026 da Microsoft em regime de emergência (6 zero-days KEV, prazo até 3 de março). Priorizar [[cve-2026-21513|CVE-2026-21513]] (APT28/MSHTML) e [[cve-2026-21533|CVE-2026-21533]] (EoP RDS). Monitorar indicadores de comprometimento do APT28 em e-mails e processos do Word. **Fontes:** [1](https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2026-patch-tuesday-fixes-6-zero-days-58-flaws/) [2](https://thehackernews.com/2026/02/microsoft-patches-59-vulnerabilities.html) [3](https://thehackernews.com/2026/03/apt28-tied-to-CVE-2026-21513-mshtml-0.html) --- --- ## 12 fev 2026 ### 🟥 P1 | [[cve-2026-20700|CVE-2026-20700]] · Apple Zero-Day em dyld Explorado em Ataque de Spyware Sofisticado 📅 12 fev · `CVSS 7.8` `KEV` `Exploração Ativa` `Zero-Day` · Score **87** A [[_apple|Apple]] corrigiu a [[cve-2026-20700|CVE-2026-20700]] (CVSS 7.8), vulnerabilidade de corrupção de memória no **dyld** (Dynamic Link Editor) - componente presente desde o iOS 1.0 - explorada "em ataque extremamente sofisticado contra indivíduos específicos" segundo advisory da Apple, indicativo de operação de spyware comercial. A falha foi descoberta pelo Google TAG e encadeada com vulnerabilidades WebKit para comprometimento completo de dispositivos iOS, iPadOS, macOS, tvOS, watchOS e visionOS - o primeiro zero-day Apple de 2026. A CISA adicionou ao KEV com prazo até 5 de março. Para a América Latina, dispositivos Apple em uso por governo e empresas, combinados com preocupações de vigilância contra jornalistas e ativistas na região, tornam esta vulnerabilidade uma prioridade de remediação imediata. **TTPs:** [[t1203-exploitation-client-execution|T1203]] · [[t1068-exploitation-for-privilege-escalation|T1068]] · [[t1005-data-from-local-system|T1005]] **Setores:** [[government|Governo]] · [[telecom|Mídia]] · [[government|Sociedade Civil]] **Mitigação:** Aplicar atualizações de segurança Apple imediatamente para todos os dispositivos afetados (iOS, iPadOS, macOS, tvOS, watchOS, visionOS). Ativar Lockdown Mode em dispositivos de perfis de alto risco. Prazo KEV: 5 de março - verificar conformidade imediata. **Fontes:** [1](https://www.bleepingcomputer.com/news/security/apple-fixes-zero-day-flaw-used-in-extremely-sophisticated-attacks/) [2](https://thehackernews.com/2026/02/apple-fixes-zero-day-flaw-used-in.html) [3](https://www.theregister.com/2026/02/12/apple_zero_day_dyld/) --- ### 🟧 P2 | Lotus Blossom · Supply Chain via Notepad++ com Cobalt Strike e Backdoor Chrysalis 📅 12 fev · `KEV` · Score **82** O grupo [[g0030-raspberry-typhoon|Lotus Blossom]] (state-sponsored chinês) comprometeu a infraestrutura de hospedagem compartilhada do Notepad++ entre junho e dezembro de 2025, interceptando tráfego do auto-updater WinGUp que baixa atualizações sem verificação de integridade ([[cve-2025-15556|CVE-2025-15556]]). A cadeia de ataque entregava [[s0154-cobalt-strike|Cobalt Strike]] e o backdoor [[chrysalis|Chrysalis]] via DLL side-loading, abusando de componente legítimo da Bitdefender para evasão de defesas - os alvos incluem governo, Telecom e infraestrutura crítica. A adição ao CISA KEV confirma exploração ativa, e o comprometimento de uma ferramenta de desenvolvimento tão popular quanto o Notepad++ demonstra que ataques de supply chain continuam sendo vetor preferencial de APTs chineses para acesso inicial persistente. **TTPs:** [[t1195-002-compromise-software-supply-chain|T1195.002]] · [[t1574-hijack-execution-flow|T1574]] · [[t1059-command-scripting-interpreter|T1059]] **Atores:** [[g0030-raspberry-typhoon|Lotus Blossom]] **Software:** [[s0154-cobalt-strike|Cobalt Strike]] · [[chrysalis|Chrysalis]] **Setores:** [[government|Governo]] · [[telecom|Telecom]] · [[critical-infrastructure|Infraestrutura Crítica]] **Mitigação:** Verificar integridade do Notepad++ instalado via checksum SHA256 oficial. Atualizar para versão 8.7.7+ (limpa). Monitorar DLL side-loading via EDR - foco em componentes Bitdefender legítimos carregando DLLs não verificadas. Aplicar patch para [[cve-2025-15556|CVE-2025-15556]]. **Fontes:** [1](https://thehackernews.com/2026/02/notepad-hosting-breach-attributed-to.html) [2](https://unit42.paloaltonetworks.com/notepad-infrastructure-compromise/) --- --- ## 13 fev 2026 ### 🟧 P2 | [[cve-2026-1731|CVE-2026-1731]] · BeyondTrust Remote Support RCE Pré-Autenticação em Campanhas de Ransomware 📅 13 fev · `KEV` `Exploração Ativa` · Score **85** Uma vulnerabilidade de RCE pré-autenticação no [[_beyondtrust|BeyondTrust]] Remote Support ([[cve-2026-1731|CVE-2026-1731]]) foi adicionada ao CISA KEV após confirmação de exploração ativa em campanhas de ransomware. PoC público surgiu rapidamente após a divulgação em 6 de fevereiro, e a CISA confirmou exploração in-the-wild até 13 de fevereiro. Ferramentas de acesso remoto são vetores de alto valor para operadores de ransomware - patches devem ser aplicados com urgência máxima. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1219-remote-access-tools|T1219]] · [[t1059-command-scripting-interpreter|T1059]] **Setores:** [[technology|Corporativo]] · [[government|Governo]] **Mitigação:** Aplicar patch do BeyondTrust Remote Support para [[cve-2026-1731|CVE-2026-1731]] imediatamente. Restringir acesso à interface de administração por IP de origem. Auditar logs de acesso desde 6 de fevereiro por exploração do PoC público em campanhas de ransomware. **Fontes:** [1](https://www.bleepingcomputer.com/news/security/cisa-beyondtrust-rce-flaw-now-exploited-in-ransomware-attacks/) --- --- ## 15 fev 2026 ### 🟧 P2 | Advantest · Ransomware Atinge Gigante Jáponesa de Semicondutores 📅 15 fev · Score **72** A **Advantest Corporation**, uma das maiores fabricantes de equipamentos de teste de semicondutores do mundo, confirmou ataque de ransomware detectado em 15 de fevereiro de 2026 com acesso não autorizado a servidores internos. O incidente afeta a cadeia de suprimentos global de semicondutores em momento de alta demanda - a empresa é fornecedora crítica para Intel, TSMC e Samsung. **TTPs:** [[t1486-data-encrypted-for-impact|T1486]] · [[t1078-valid-accounts|T1078]] · [[t1048-exfiltration-over-alternative-protocol|T1048]] **Setores:** [[technology|Semicondutores]] · [[critical-infrastructure|Manufatura]] **Mitigação:** Manter backups offline isolados da rede corporativa. Notificar clientes da cadeia de suprimentos (Intel, TSMC, Samsung) sobre potencial impacto. Implementar segmentação entre sistemas de gestão e produção em ambientes de manufatura de semicondutores. **Fontes:** [1](https://www.cm-alliance.com/cybersecurity-blog/february-2026-recent-cyber-attacks-data-breaches-ransomware-attacks) [2](https://www.pkware.com/blog/2026-data-breaches) --- --- ## 17 fev 2026 ### 🟥 P1 | [[cve-2026-22769|CVE-2026-22769]] · Dell RecoverPoint Zero-Day CVSS 10.0 Explorado por APT Chinês Desde 2024 📅 17 fev · `CVSS 10.0` `KEV` `Exploração Ativa` `Zero-Day` · Score **93** A [[cve-2026-22769|CVE-2026-22769]] (CVSS 10.0), credenciais hard-coded no Dell RecoverPoint for VMs, foi explorada como zero-day por pelo menos 18 meses pelo grupo [[unc6201|UNC6201]] (China-nexus, com sobreposição com UNC5221/[[g0125-silk-typhoon|Silk Typhoon]]). A cadeia de ataque implanta o web shell SLAYSTYLE, seguido pelo backdoor [[brickstorm|BRICKSTORM]] e culminando no GRIMBOLT - um implante C# compilado com .NET AOT (Ahead-of-Time) para máxima evasão. A técnica "Ghost NICs" é particularmente inovadora: interfaces de rede virtuais temporárias criadas em VMs ESXi para pivoting furtivo, removidas após uso para eliminar evidências forenses. A CISA adicionou ao KEV em 18 de fevereiro com prazo emergencial de 3 dias (21 de fevereiro) - organizações com Dell RecoverPoint devem tratar como comprometimento presumido. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1078-valid-accounts|T1078]] · [[t1505-server-software-component|T1505]] · [[t1021-remote-services|T1021]] **Atores:** [[unc6201|UNC6201]] · [[g0125-silk-typhoon|Silk Typhoon]] **Setores:** [[government|Governo]] · [[technology|Corporativo]] · [[critical-infrastructure|Infraestrutura Crítica]] **Mitigação:** Aplicar patch emergencial da Dell para [[cve-2026-22769|CVE-2026-22769]] imediatamente - tratar como comprometimento presumido se exposto antes de 18/02. Auditar VMs ESXi por NICs virtuais temporárias (técnica Ghost NICs do UNC6201). Buscar web shell SLAYSTYLE e backdoors BRICKSTORM/GRIMBOLT em servidores Dell RecoverPoint. **Fontes:** [1](https://www.bleepingcomputer.com/news/security/chinese-hackers-exploiting-dell-zero-day-flaw-since-mid-2024/) [2](https://www.truesec.com/hub/blog/unc6201-dell-recoverypoint-CVE-2026-22769) [3](https://socprime.com/blog/CVE-2026-22769-vulnerability/) --- ### 🟥 P1 | [[cve-2026-2441|CVE-2026-2441]] · Primeiro Chrome Zero-Day de 2026 Explorado Ativamente 📅 17 fev · `CVSS 8.8` `KEV` `Exploração Ativa` `Zero-Day` `LATAM` · Score **84** O Google confirmou exploração ativa da [[cve-2026-2441|CVE-2026-2441]] (CVSS 8.8), vulnerabilidade use-after-free no motor CSS do Chrome que constitui o primeiro zero-day do navegador em 2026 - a falha permite execução de código arbitrário via página web maliciosa, afetando todos os navegadores baseados em Chromium (Chrome, Edge, Brave, Opera). A CISA adicionou ao KEV com prazo até 10 de março de 2026. Com o Chrome detendo aproximadamente 85% do market share no Brasil, a vulnerabilidade representa risco direto e imediato para a base de usuários brasileira e latino-americana - a atualização deve ser tratada como emergência para endpoints corporativos e dispositivos pessoais. **TTPs:** [[t1189-drive-by-compromise|T1189]] · [[t1203-exploitation-client-execution|T1203]] **Setores:** todos os setores **Mitigação:** Atualizar Google Chrome e todos os navegadores Chromium para versão 122.0.6261.94 ou superior imediatamente. Forçar atualização automática em endpoints corporativos via GPO. Prazo KEV: 10 de março - verificar conformidade em todos os dispositivos gerenciados. **Fontes:** [1](https://www.bleepingcomputer.com/news/security/google-patches-first-chrome-zero-day-exploited-in-attacks-this-year/) [2](https://cyberthrone.com/2026/02/16/CVE-2026-2441-chrome-zero-day/) --- --- ## 21 fev 2026 ### 🟥 P1 | Bybit Heist · Lazarus Group Rouba US$1,5 Bilhão em Maior Roubo Cripto da História 📅 21 fev · Score **98** O [[g0032-lazarus-group|Lazarus Group]] (Coreia do Norte) executou o maior roubo de criptomoedas da história ao comprometer a exchange [[bybit-heist-2025|Bybit]] em Dubai, desviando US$1,5 bilhão em tokens Ethereum. Os atacantes comprometeram o ambiente de desenvolvimento da Safe{Wallet} via engenharia social contra um desenvolvedor, obtendo acesso ao sistema de deploy de código e manipulando transações multisig. Pelo menos US$160 milhões foram lavados nas primeiras 48 horas - o incidente é documentado como o [[bybit-heist-2025|Bybit Heist]] e demonstra capacidade operacional sofisticada de APTs norte-coreanos para financiar programas estatais via crime financeiro digital. **TTPs:** [[t1195-002-compromise-software-supply-chain|T1195.002]] · [[t1566-phishing|T1566]] · [[t1059-command-scripting-interpreter|T1059]] · [[t1657-financial-theft|T1657]] **Atores:** [[g0032-lazarus-group|Lazarus Group]] **Setores:** [[financial|Financeiro]] · [[cryptocurrency|Cripto]] **Mitigação:** Implementar revisão obrigatória de código por múltiplos desenvolvedores independentes para sistemas de deploy críticos de exchanges. Adotar multisig com hardware wallets para transações de alta criticidade. Revisar controles de segurança para engenheiros de infraestrutura de carteiras. **Fontes:** [1](https://www.elliptic.co/blog/bybit-hack-largest-in-history) [2](https://www.nccgroup.com/research/in-depth-technical-analysis-of-the-bybit-hack/) [3](https://www.elastic.co/security-labs/bit-bybit) --- --- ## 25 fev 2026 ### 🟥 P1 | [[cve-2026-20127|CVE-2026-20127]] · Cisco SD-WAN Zero-Day CVSS 10.0 com Emergency Directive Five Eyes 📅 25 fev · `CVSS 10.0` `KEV` `Exploração Ativa` `Zero-Day` `LATAM` · Score **96** A [[cve-2026-20127|CVE-2026-20127]] (CVSS 10.0) no [[_cisco|Cisco]] Catalyst SD-WAN Controller/Manager permite bypass completo de autenticação, explorada pelo ator sofisticado [[uat-8616|UAT-8616]] desde 2023 em cadeia que inclui injeção de peer rogue, downgrade de firmware, acesso root e eliminação de evidências forenses. A CISA emitiu a **Emergency Directive 26-03** com prazo de 24-48 horas para agências federais, e a aliança Five Eyes (EUA, Reino Unido, Austrália, Canadá, Nova Zelândia) publicou advisory conjunto - todos os tipos de deployment são afetados: on-premises, Cisco Cloud e FedRAMP. A gravidade máxima combinada com advisory Five Eyes e Emergency Directive é excepcional e indica comprometimento de infraestrutura governamental. Para o Brasil e América Latina, o Cisco SD-WAN é amplamente implantado em redes corporativas e governamentais, exigindo remediação emergencial imediata. **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1542-pre-os-boot|T1542]] · [[t1601-modify-system-image|T1601]] · [[t1070-indicator-removal|T1070]] **Atores:** [[uat-8616|UAT-8616]] **Setores:** [[government|Governo]] · [[technology|Corporativo]] · [[telecom|Telecom]] · [[critical-infrastructure|Infraestrutura Crítica]] **Mitigação:** Aplicar patch emergencial do Cisco SD-WAN Controller/Manager para [[cve-2026-20127|CVE-2026-20127]] imediatamente - Emergency Directive 26-03 ativa. Verificar sinais de comprometimento pelo UAT-8616 (peer rogue, firmware modificado, ausência de logs). Isolar controladores SD-WAN da internet durante remediação. **Fontes:** [1](https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/) [2](https://thehackernews.com/2026/02/cisco-critical-sd-wan-bug-exploited-in.html) [3](https://www.csoonline.com/article/cisco-sd-wan-zero-day-CVE-2026-20127-five-eyes-advisory/) --- ---