A Cisco divulgou correções para quatro vulnerabilidades críticas que afetam o Webex Services e o Identity Services Engine (ISE), incluindo uma falha que permite a atacantes remotos assumir a identidade de qualquer usuário da plataforma Webex sem autenticação.
Falha crítica no SSO do Webex
A vulnerabilidade mais grave, rastreada como CVE-2026-20184, reside na validação inadequada de certificados na integração de Single Sign-On (SSO) com o Control Hub. O mecanismo de ataque permite que invasores remotos sem privilégios se conectem a um endpoint de serviço e forneçam um token SAML (Security Assertion Markup Language, protocolo usado para troca de dados de autenticação) manipulado, contornando completamente os controles de autenticação.
Uma vez explorada, a vulnerabilidade permite ao atacante assumir a identidade de qualquer usuário legítimo da plataforma, obtendo acesso não autorizado a todos os serviços Cisco Webex aos quais o usuário comprometido teria permissão. A Cisco já implementou correções no lado do servidor, mas clientes que utilizam integração SSO precisam realizar uma ação específica: fazer upload de um novo certificado SAML para seu provedor de identidade (IdP) no Control Hub para evitar interrupção do serviço.
Três vulnerabilidades de execução remota no ISE
O Identity Services Engine, plataforma de controle de acesso à rede da Cisco, foi afetado por três vulnerabilidades críticas distintas: CVE-2026-20147, CVE-2026-20180 e CVE-2026-20186. Todas as três falhas permitem execução arbitrária de comandos no sistema operacional subjacente, independentemente da configuração específica do dispositivo.
Diferentemente da vulnerabilidade do Webex, as falhas no ISE requerem que o atacante possua credenciais administrativas válidas para exploração bem-sucedida. Uma vez autenticado, porém, o invasor pode executar qualquer comando no sistema operacional, obtendo controle total sobre a infraestrutura de gerenciamento de políticas de segurança.
Cadeia de ataque e indicadores de comprometimento
Para a vulnerabilidade do Webex, a cadeia de ataque inicia quando o invasor se conecta a um endpoint de serviço público e fornece um token SAML especialmente construído. A validação inadequada de certificados permite que o token malicioso seja aceito como legítimo, garantindo ao atacante acesso aos serviços como se fosse um usuário autorizado.
No caso das vulnerabilidades do ISE, o vetor de ataque requer acesso administrativo prévio, mas permite escalação para controle completo do sistema. Os indicadores de comprometimento incluem tentativas de conexão anômalas a endpoints de serviço Webex, presença de tokens SAML malformados nos logs, atividade administrativa incomum em sistemas ISE e execução de comandos não documentados em sistemas de gerenciamento.
Contexto de ameaças e histórico recente
Este conjunto de vulnerabilidades faz parte de um padrão preocupante de falhas críticas descobertas em produtos Cisco. Em janeiro de 2026, uma vulnerabilidade zero-day (CVE-2026-20131) no Secure Firewall Management Center foi ativamente explorada em campanhas do ransomware Interlock, levando a Cybersecurity and Infrastructure Security Agency (CISA) a emitir uma ordem de correção obrigatória para agências federais dos EUA.
O Cisco Product Security Incident Response Team (PSIRT) foi responsável pela descoberta e divulgação das vulnerabilidades atuais. Até o momento da publicação dos avisos, a empresa não havia identificado evidências de exploração ativa das quatro novas vulnerabilidades críticas, diferentemente do caso anterior do FMC.
Vulnerabilidades adicionais de severidade média
Além das quatro falhas críticas, a Cisco também corrigiu dez vulnerabilidades de severidade média que afetam diversos produtos. Essas falhas permitem bypass de autenticação, escalação de privilégios e podem levar a estados de negação de serviço (DoS). Embora menos graves que as vulnerabilidades críticas, estas falhas ainda representam riscos significativos para organizações que dependem da infraestrutura Cisco.
Recomendações e próximos passos
Organizações que utilizam Cisco Webex com integração SSO devem priorizar o upload do novo certificado SAML conforme instruído pela Cisco para evitar interrupções de serviço. Para sistemas ISE, a aplicação imediata dos patches é essencial, especialmente considerando que as vulnerabilidades permitem execução arbitrária de comandos com credenciais administrativas.
A recorrência de vulnerabilidades críticas em produtos de segurança da Cisco, combinada com a exploração ativa confirmada de falhas anteriores, sugere que atacantes estão priorizando a infraestrutura de segurança empresarial como alvo. Equipes de segurança devem implementar monitoramento adicional para os indicadores de comprometimento mencionados e considerar a revisão de privilégios administrativos em sistemas críticos como medida preventiva adicional.