# CVE-2026-20127 - Cisco Catalyst SD-WAN Authentication Bypass (CVSS 10.0) > [!danger] CVSS: 10.0 (Crítico) · Vendor: Cisco · CISA KEV: Sim · Zero-day explorado desde 2023 por UAT-8616 · Prazo federal: 24h ## Visão Geral {Conteúdo a ser adicionado.} ## Resumo Técnico ```mermaid graph TB A["🔍 CVE-2026-20127 · CVSS 10.0<br/>Cisco SD-WAN Auth Bypass"] --> B["🎯 Localizar SD-WAN Controller<br/>vSmart/vManage exposto<br/>mecanismo de peering"] B --> C["💥 Bypass de Autenticação<br/>Requisição ao peering<br/>sem credenciais válidas"] C --> D["🔧 Acesso NETCONF<br/>Conta privilegiada criada<br/>porta 830 comprometida"] D --> E["🔧 Modificar Malha SD-WAN<br/>Rogue peers, SSH keys<br/>limpeza de logs"] E --> F["💀 Controle da WAN Corporativa<br/>Intercepção de tráfego<br/>Espionagem persistente"] classDef critical fill:#c92a2a,stroke:#c92a2a,color:#fff classDef exploit fill:#e67700,stroke:#e67700,color:#fff classDef postexploit fill:#495057,stroke:#343a40,color:#fff classDef impact fill:#1864ab,stroke:#1864ab,color:#fff class A critical class B,C exploit class D,E postexploit class F impact ``` **CVE-2026-20127** é uma vulnerabilidade crítica de **autenticação inadequada** (CWE-287) no mecanismo de peering do **[[Cisco Catalyst SD-WAN Controller]]** (anteriormente vSmart) e do **[[Cisco Catalyst SD-WAN Manager]]** (anteriormente vManage). A falha permite que um atacante remoto não autenticado contorne a autenticação enviando requisições especialmente construídas ao mecanismo de peering e obtenha uma conta de alto privilégio com acesso NETCONF. A gravidade é máxima: CVSS **10.0**, exploração ativa como **zero-day desde 2023**, utilizada pelo grupo de ameaça persistente avançada **[[uat-8616|UAT-8616]]** contra infraestrutura crítica antes da divulgação pública. **Pontuação de risco:** - CVSS v3.1: **10.0** (Crítico) - `AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H` - CISA KEV: **adicionado em 2026-02-26** com **diretiva de emergência (26-03)** - prazo federal: **24 horas** - Exploração como zero-day: **confirmada desde 2023 pelo UAT-8616** > [!danger] A diretiva de emergência CISA 26-03 exigiu que agências federais dos EUA corrigissem esta CVE em 24 horas - indicativo da gravidade extrema e da exploração ativa confirmada. ## Exploração O **[[uat-8616|UAT-8616]]** (cluster de ameaça rastreado pela Cisco Talos, ASD-ACSC e Intel 471) explorou esta vulnerabilidade como zero-day desde 2023, antes de qualquer divulgação pública. O grupo é descrito como "altamente sofisticado" com foco em infraestrutura crítica de alto valor. **Técnica de exploração:** 1. Atacante envia requisições construídas ao mecanismo de peering SD-WAN (sem autenticação) 2. Bypass de autenticação concede acesso como conta interna privilegiada não-root 3. Atacante usa NETCONF (porta 830) para modificar configurações da malha SD-WAN 4. Em cadeia com **[[cve-2022-20775|CVE-2022-20775]]** (CVSS 7.8 - path traversal no CLI), escala para acesso root **Post-exploitation do UAT-8616:** - Criação de peers SD-WAN maliciosos (rogue peers) - Adição de chaves SSH autorizadas para acesso root persistente - Movimentação lateral via SSH e NETCONF - Criação de contas locais mimetizando contas legítimas - Limpeza de evidências: deleção de `/var/log`, histórico de comandos, desabilitação de syslog **Deployments afetados:** - On-Premises - Cisco Hosted SD-WAN Cloud - Cisco Hosted SD-WAN Cloud - Cisco Managed - Cisco Hosted SD-WAN Cloud - FedRAMP Environment ## Impacto - **Controle total do plano de gerenciamento SD-WAN:** o atacante pode modificar roteamento, políticas e configurações de toda a malha WAN - **Persistência de longo prazo:** adição de chaves SSH e contas permite reacesso mesmo após rotação de credenciais - **Comprometimento de infraestrutura crítica:** SD-WAN gerencia conectividade de toda a organização; comprometimento pode afetar filiais, data centers e parceiros - **Espionagem e intercepção de tráfego:** modificação de políticas de roteamento pode redirecionar tráfego para inspeção **Impacto LATAM/Brasil:** Cisco SD-WAN tem adoção significativa em operadoras brasileiras, grandes bancos e órgãos governamentais. O comprometimento do orquestrador SD-WAN representa risco de disrupção de conectividade e espionagem em escala. ## Mitigação **Patch obrigatório:** - Versões corrigidas: a partir de **20.18.2.2** e posteriores - Advisory: [cisco-sa-sdwan-authbp-qwCX8D4v](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v) - Data: **26 de fevereiro de 2026** **Verificação de comprometimento (post-exploitation indicators):** - Peers SD-WAN não reconhecidos nas listas de peering - Chaves SSH desconhecidas no arquivo `authorized_keys` de contas de sistema - Contas locais criadas recentemente com nomes similares a contas legítimas - Logs de autenticação ausentes (UAT-8616 limpa logs) - Tráfego NETCONF inesperado (porta 830) **Mitigações adicionais:** - Restringir acesso ao mecanismo de peering por listas de controle de acesso (ACLs) - Monitorar todas as conexões NETCONF - Implementar autenticação mutual TLS para peering - Auditar contas locais e chaves SSH regularmente ## Contexto LATAM > [!latam] Impacto Brasil e América Latina > O Cisco Catalyst SD-WAN tem adoção significativa em grandes operadoras de telecomúnicações brasileiras, bancos e órgãos governamentais que modernizaram suas redes WAN. O comprometimento do orquestrador SD-WAN (vSmart/vManage) por um grupo APT sofisticado como o **UAT-8616** representa risco de espionagem em escala e disrupção de conectividade crítica. > > A exploração como zero-day desde 2023 - mais de dois anos antes da divulgação - indica que organizações LATAM com SD-WAN Cisco podem ter sido alvos sem qualquer indicação de comprometimento. A limpeza de logs documentada pelo UAT-8616 torna a detecção retroativa extremamente difícil. Organizações dos setores **telecomúnicações**, **financeiro** e **governo** devem realizar revisão forense de ambientes SD-WAN mesmo após aplicação do patch. ## Notas Relacionadas **Ator explorando:** [[uat-8616|UAT-8616]] **CVE encadeado:** [[cve-2022-20775|CVE-2022-20775]] - escalada para root via path traversal CLI **Produto:** [[Cisco Catalyst SD-WAN]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1098-account-manipulation|T1098 - Account Manipulation]] · [[t1021-remote-services|T1021 - Remote Services]] · [[t1070-indicator-removal|T1070 - Indicator Removal]] **Setores em risco:** [[telecomunicações]] · [[financial]] · [[government]] · [[critical-infrastructure]] **CVE Cisco relacionada:** [[cve-2026-20131|CVE-2026-20131]] - Cisco FMC RCE, adicionado ao CISA KEV na mesma semana