A Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA) adicionou uma nova vulnerabilidade do Cisco Catalyst SD-WAN Manager ao seu catálogo de vulnerabilidades conhecidas e exploradas (KEV). A falha, rastreada como CVE-2026-20133, está sendo ativamente explorada por atacantes e representa uma ameaça significativa para organizações que utilizam a solução de gerenciamento de redes definidas por software da Cisco.
Mecanismo técnico da vulnerabilidade
A CVE-2026-20133 é uma vulnerabilidade de divulgação de informações que afeta o Cisco Catalyst SD-WAN Manager, anteriormente conhecido como vManage. O problema decorre de restrições insuficientes no sistema de arquivos, permitindo que atacantes remotos não autenticados acessem a API do sistema afetado.
Através da exploração desta falha, invasores conseguem contornar controles de acesso e ler informações sensíveis do sistema operacional subjacente. A natureza não autenticada do ataque torna a vulnerabilidade particularmente perigosa, pois elimina a necessidade de credenciais válidas para iniciar o comprometimento.
Contexto da descoberta e exploração
A Cisco identificou e corrigiu a vulnerabilidade no final de fevereiro de 2026, mas não reconheceu publicamente sua exploração ativa até a intervenção da CISA. A VulnCheck, empresa especializada em análise de riscos de vulnerabilidades, realizou uma avaliação independente em março de 2026 e classificou a CVE-2026-20133 como de alto risco, sugerindo que a exploração já estava em andamento.
A adição da vulnerabilidade ao catálogo KEV da CISA na segunda-feira de abril de 2026 confirma que existem evidências concretas de exploração ativa em ambientes reais. A agência estabeleceu 24 de abril de 2026 como prazo para que todas as agências federais americanas apliquem os patches necessários.
Padrão preocupante de ataques
A CVE-2026-20133 não é um caso isolado. A vulnerabilidade faz parte de um conjunto maior de falhas no Cisco Catalyst SD-WAN Manager que vêm sendo exploradas sequencialmente. Entre elas estão a CVE-2026-20128 e CVE-2026-20122, ambas confirmadas como exploradas pela própria Cisco em março de 2026.
Particularmente alarmante é a exploração contínua da CVE-2026-20127, uma vulnerabilidade crítica de bypass de autenticação que vem sendo explorada desde 2023. A Arctic Wolf, empresa de segurança cibernética, observou atividade maliciosa relacionada a essas vulnerabilidades, incluindo ataques do grupo Lace Tempest, afiliado do ransomware Clop.
Impacto e escala do problema
O Cisco Catalyst SD-WAN Manager é capaz de gerenciar até 6.000 dispositivos SD-WAN a partir de um único painel de controle, o que amplifica significativamente o impacto potencial de uma exploração bem-sucedida. Uma única instância comprometida pode servir como ponto de entrada para vastas redes empresariais.
A gravidade da situação levou a CISA a emitir a Diretiva de Emergência 26-03, especificamente voltada para dispositivos Cisco SD-WAN. Nos últimos anos, a agência catalogou 91 vulnerabilidades Cisco como ativamente exploradas, sendo que 6 delas foram utilizadas em operações de ransomware.
Recomendações de mitigação
Organizações que utilizam o Cisco Catalyst SD-WAN Manager devem aplicar imediatamente os patches disponibilizados pela Cisco no final de fevereiro de 2026. Embora as versões específicas afetadas não tenham sido detalhadas nas fontes consultadas, a urgência da situação demanda que todos os sistemas sejam atualizados para as versões mais recentes.
A divergência entre o reconhecimento oficial da Cisco sobre a exploração ativa e as evidências coletadas pela CISA ressalta a importância de não aguardar confirmações do fabricante antes de aplicar patches críticos. A natureza sequencial dos ataques sugere que grupos maliciosos estão sistematicamente explorando vulnerabilidades conhecidas em infraestruturas SD-WAN, tornando a aplicação proativa de correções essencial para a segurança organizacional.