Cisco actualizó el 5 de marzo de 2026 su aviso sobre CVE-2026-20127 para confirmar lo que ya sospechaban varios equipos de respuesta: el fallo se está explotando en el mundo real, y lleva tiempo haciéndose. Es una vulnerabilidad de bypass de autenticación en Cisco Catalyst SD-WAN Controller (el antiguo vSmart) y en el componente Manager, con una puntuación CVSS de 10.0. No hay matices que rebajen esa cifra: no requiere autenticación previa, no necesita interacción del usuario y se explota a través de la red.
Qué falla exactamente
El problema está en el mecanismo de autenticación de peering del plano de control. Un atacante remoto puede enviar peticiones manipuladas y conseguir iniciar sesión como una cuenta interna de altos privilegios (no-root). Desde ahí, según el análisis de Cisco Talos, el siguiente paso habitual es abusar de NETCONF para enumerar, modificar y desplegar plantillas y políticas por todo el fabric SD-WAN. Es decir: control sobre la configuración de la red completa, no solo sobre un appliance.
La cuenta a la que se llega no es root, pero eso no detuvo al atacante. Talos atribuye la actividad a un grupo que rastrea como UAT-8616, al que califica de actor avanzado con alta confianza. Para saltar de esa cuenta privilegiada a root, el grupo recurría a un truco poco común: degradaba el software SD-WAN a una versión antigua donde seguía presente CVE-2022-20775 (una escalada de privilegios por CLI ya parcheada hacía tiempo), explotaba ese fallo para conseguir root y después restauraba la versión original parcheada. Así borraban las huellas del downgrade y dejaban el sistema con su versión “buena”, lo que complicaba la detección.
A quién afecta y desde cuándo
Afecta a Cisco Catalyst SD-WAN Controller y Manager. La parte inquietante es la cronología: la evidencia indica que la actividad maliciosa se remonta al menos a 2023, mucho antes de la divulgación pública. Talos detectó la explotación activa en febrero de 2026 y Cisco actualizó el aviso a primeros de marzo para reflejar que había ataques confirmados. Entre los objetivos figuran infraestructuras de red de borde en sectores críticos.
Gravedad y mitigación
Con CVSS 10.0 y explotación confirmada, esto entra en la categoría de “parchear ya”. Cisco publicó versiones corregidas; conviene comprobar el aviso oficial para la rama concreta que tengas desplegada y actualizar a la versión fija correspondiente (las correcciones cubren las ramas 20.9, 20.12, 20.15 y 20.18, entre otras).
Más allá del parche, dado el método de ataque por downgrade, merece la pena revisar registros en busca de cambios de versión de software no autorizados y de actividad anómala en NETCONF (TCP/830 habitualmente). Si gestionas un fabric SD-WAN expuesto, restringe el acceso de gestión a redes de confianza y revisa las plantillas y políticas por si se modificaron. La presencia de actividad desde 2023 significa que un sistema sin parchear podría llevar tiempo comprometido sin signos evidentes.