El 5 de març de 2026 Cisco va actualitzar l’avís sobre CVE-2026-20127 per confirmar el que ja sospitaven diversos equips de resposta: la fallada s’està explotant al món real, i fa temps que ho fa. És una vulnerabilitat de bypass d’autenticació a Cisco Catalyst SD-WAN Controller (l’antic vSmart) i al component Manager, amb una puntuació CVSS de 10.0. No hi ha matisos que rebaixin aquesta xifra: no requereix autenticació prèvia, no necessita interacció de l’usuari i s’explota a través de la xarxa.
Què falla exactament
El problema és al mecanisme d’autenticació de peering del pla de control. Un atacant remot pot enviar peticions manipulades i aconseguir iniciar sessió com a compte intern d’alts privilegis (no-root). Des d’aquí, segons l’anàlisi de Cisco Talos, el pas habitual següent és abusar de NETCONF per enumerar, modificar i desplegar plantilles i polítiques per tot el fabric SD-WAN. És a dir: control sobre la configuració de tota la xarxa, no només d’un appliance.
El compte al qual s’arriba no és root, però això no va aturar l’atacant. Talos atribueix l’activitat a un grup que rastreja com UAT-8616, al qual qualifica d’actor avançat amb alta confiança. Per saltar d’aquest compte privilegiat a root, el grup feia servir un truc poc comú: degradava el programari SD-WAN a una versió antiga on encara hi havia CVE-2022-20775 (una escalada de privilegis per CLI ja apedaçada feia temps), explotava aquesta fallada per obtenir root i després restaurava la versió original apedaçada. Així esborraven el rastre del downgrade i deixaven el sistema amb la versió “bona”, cosa que dificultava la detecció.
A qui afecta i des de quan
Afecta Cisco Catalyst SD-WAN Controller i Manager. La part inquietant és la cronologia: l’evidència indica que l’activitat maliciosa es remunta com a mínim al 2023, molt abans de la divulgació pública. Talos va detectar l’explotació activa el febrer de 2026 i Cisco va actualitzar l’avís a primers de març per reflectir que hi havia atacs confirmats. Entre els objectius hi ha infraestructures de xarxa de vora en sectors crítics.
Gravetat i mitigació
Amb CVSS 10.0 i explotació confirmada, això entra a la categoria d’“apedaçar ja”. Cisco va publicar versions corregides; convé consultar l’avís oficial per a la branca concreta que tinguis desplegada i actualitzar a la versió fixada corresponent (les correccions cobreixen les branques 20.9, 20.12, 20.15 i 20.18, entre altres).
Més enllà del pegat, atès el mètode d’atac per downgrade, val la pena revisar registres buscant canvis de versió de programari no autoritzats i activitat anòmala a NETCONF (TCP/830 habitualment). Si gestiones un fabric SD-WAN exposat, restringeix l’accés de gestió a xarxes de confiança i revisa les plantilles i polítiques per si es van modificar. La presència d’activitat des del 2023 vol dir que un sistema sense apedaçar podria portar temps compromès sense signes evidents.