NetCatTest

Zero-Day & Exploits

CVE-2026-20182: CISA adiciona falha crítica do Cisco SD-WAN

A CISA adicionou a vulnerabilidade crítica CVE-2026-20182 ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV)

15/05/2026 6 min leitura

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) adicionou a vulnerabilidade CVE-2026-20182 ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) após evidências de exploração ativa em ambientes Cisco SD-WAN.

A falha afeta controladores Cisco Catalyst SD-WAN e Cisco SD-WAN Manager, permitindo que um invasor remoto não autenticado ignore completamente o processo de autenticação e obtenha privilégios administrativos no dispositivo afetado.

CVE Produto Afetado Tipo CVSS
CVE-2026-20182 Cisco Catalyst SD-WAN Controller / Manager Authentication Bypass 10.0

A vulnerabilidade recebeu pontuação máxima CVSS 10.0, indicando impacto crítico.

Segundo a diretiva emitida pela agência, órgãos do Federal Civilian Executive Branch (FCEB) devem aplicar mitigação até 17 de maio de 2026.

O que é a CVE-2026-20182?

A CVE-2026-20182 é descrita como uma falha de bypass de autenticação em componentes do Cisco SD-WAN.

Na prática, o problema permite que um atacante remoto sem credenciais válidas consiga obter acesso administrativo ao sistema.

Fluxo conceitual simplificado:

Código
atacante remoto → bypass de autenticação → acesso administrativo → persistência → pós-comprometimento

Segundo a descrição divulgada pela CISA:

O impacto potencial inclui:

Checklist
  • Comprometimento completo do controlador SD-WAN
  • Execução de comandos administrativos
  • Persistência via SSH
  • Alteração de configurações de rede
  • Escalada para root
  • Roubo de credenciais
  • Movimentação lateral
  • Implantação de malware e web shells

Cisco relaciona exploração ao cluster UAT-8616

Em comunicado separado, a Cisco informou que atribuiu a exploração da CVE-2026-20182 ao cluster de ameaça UAT-8616 com alto grau de confiança.

O mesmo cluster já havia sido associado anteriormente à exploração da CVE-2026-20127 contra ambientes SD-WAN.

Segundo a Cisco Talos, o grupo realizou atividades pós-comprometimento semelhantes nas duas campanhas.

As ações observadas incluem:

Checklist
  • Adição de chaves SSH
  • Modificação de configurações NETCONF
  •  Escalada de privilégios para root
  • Persistência em dispositivos comprometidos
  • Execução de comandos remotos

Fluxo observado pela Cisco Talos:

Código
exploração inicial → acesso administrativo → persistência SSH → modificação NETCONF → escalada root

A Cisco também informou que parte da infraestrutura utilizada pelo UAT-8616 possui sobreposição com redes Operational Relay Box (ORB), frequentemente associadas a operações de anonimização e roteamento operacional de ataques.

Exploração massiva envolvendo múltiplas CVEs

A Cisco revelou ainda que múltiplos clusters de ameaça vêm explorando outras vulnerabilidades SD-WAN desde março de 2026.

As falhas relacionadas incluem:

CVE Descrição Resumida
CVE-2026-20133 Falha explorada em cadeia
CVE-2026-20128 Exploração remota não autenticada
CVE-2026-20122 Acesso não autorizado ao dispositivo

Segundo a empresa, as três vulnerabilidades podem ser utilizadas em conjunto para permitir comprometimento remoto não autenticado dos dispositivos.

As falhas já haviam sido adicionadas anteriormente ao catálogo KEV da CISA.

Uso de web shells e ferramentas ofensivas

A análise da Cisco Talos mostra que os atacantes vêm utilizando provas de conceito públicas (PoCs) para implantar web shells em sistemas comprometidos.

Um dos web shells identificados foi apelidado de XenShell, baseado em um PoC publicado pela ZeroZenX Labs.

Os atacantes utilizaram os web shells para executar comandos bash arbitrários nos dispositivos comprometidos.

Exemplo conceitual:

Código
requisição maliciosa → exploração da falha → upload do web shell → execução remota de comandos

Os pesquisadores identificaram pelo menos 10 clusters distintos explorando os ambientes vulneráveis.

Clusters identificados pela Cisco Talos

Os clusters observados pela Cisco Talos utilizavam diferentes ferramentas, web shells e frameworks ofensivos.

Cluster Ferramenta Principal
Cluster 1 Godzilla Web Shell
Cluster 2 Behinder Web Shell
Cluster 3 XenShell + Behinder
Cluster 4 Variante Godzilla
Cluster 5 AdaptixC2
Cluster 6 Sliver C2
Cluster 7 XMRig Miner
Cluster 8 KScan + backdoor Nim
Cluster 9 XMRig + gsocket
Cluster 10 Stealer de credenciais JWT e AWS

Entre os comportamentos identificados:

Checklist
  • Implantação de web shells JSP
  • Execução remota de comandos bash
  • Mineração de criptomoeda
  • Tunelamento P2P
  • Mapeamento de ativos
  • Roubo de credenciais
  • Coleta de JWTs
  • Extração de credenciais
  • AWS Persistência remota

Roubo de JWTs e credenciais AWS

Um dos pontos mais críticos da campanha envolve o Cluster 10.

Segundo a Cisco Talos, os operadores implantaram malware voltado especificamente para roubo de credenciais administrativas e segredos utilizados pelo ambiente Cisco SD-WAN.

Os alvos incluem:

Checklist
  • Hashdump de administradores
  • Fragmentos JWT utilizados pela API REST
  • Credenciais AWS relacionadas ao vManage
  • Dados administrativos internos

Fluxo conceitual:

Código
acesso administrativo → coleta de JWT → acesso API REST → extração de credenciais → persistência

Por que SD-WAN virou alvo prioritário?

Infraestruturas SD-WAN concentram funções críticas de rede corporativa.

Esses dispositivos frequentemente possuem:

Checklist
  • Gerenciamento centralizado
  • Conectividade entre filiais
  • Acesso VPN Automação de rede
  • Integração cloud
  • Credenciais privilegiadas
  • Controle de roteamento corporativo

Isso transforma controladores SD-WAN em alvos extremamente valiosos para operadores de ransomware, espionagem e acesso inicial.

Quando comprometidos, esses equipamentos podem fornecer:

  • acesso administrativo de rede
  • visibilidade de tráfego
  • movimentação lateral
  • persistência
  • controle de infraestrutura distribuída

Conclusão

A CVE-2026-20182 representa uma das falhas mais críticas divulgadas recentemente envolvendo infraestrutura SD-WAN da Cisco.

Com CVSS 10.0, exploração ativa confirmada e múltiplos grupos operando campanhas simultâneas, a vulnerabilidade rapidamente se tornou prioridade operacional para equipes defensivas.

O cenário fica ainda mais grave devido à combinação entre:

  • bypass de autenticação
  • acesso administrativo remoto
  • persistência via SSH
  • roubo de JWTs
  • comprometimento de APIs
  • web shells
  • frameworks C2
  • exploração em larga escala

O caso também reforça uma tendência importante: dispositivos de gerenciamento de rede continuam sendo um dos principais alvos para operações de acesso inicial e pós-exploração.

Empresas que utilizam Cisco SD-WAN devem revisar imediatamente exposição externa, indicadores de comprometimento, persistência SSH e aplicar as orientações fornecidas pela Cisco.

Escrito por

Daniel Felipe é criador do NetCatTest e produz conteúdos sobre cibersegurança, privacidade digital, OSINT, laboratórios autorizados e ferramentas para estudo técnico responsável.

[email protected] YouTube GitHub LinkedIn
Compartilhar

Enviar este artigo