Una nueva vulnerabilidad de Cisco con calificación 10/10 es activamente explotada en ataques de día cero

Descubrimiento de la Vulnerabilidad Cisco CVE-2026-20182

La CISA ha añadido recientemente la vulnerabilidad CVE-2026-20182 a su catálogo de vulnerabilidades explotadas, con un plazo establecido para las agencias federales civiles hasta el 17 de mayo de 2026. Esto implica que los administradores de sistemas tienen un tiempo limitado para identificar los controladores afectados y aplicar las actualizaciones necesarias.

Plazo y Recomendaciones

Los administradores tienen tres días hábiles para llevar a cabo una serie de tareas críticas:

1. Identificación de Controladores Vulnerables: Es primordial determinar qué controladores están expuestos.
2. Planificación de Ventanas de Mantenimiento: Deben establecer fechas para aplicar las correcciones sin afectar operaciones críticas.
3. Respaldo de Archivos: Realizar copias de seguridad del archivo admin-tech para evitar pérdidas de información.
4. Actualización a Versiones Corregidas: Cisco ha lanzado correcciones en las versiones 20.9.9.1, 20.12.7.1, 20.15.5.2, 20.18.2.2 y 26.1.1.1.

Es importante mencionar que Cisco no ofrece parches temporales, lo que obliga a una migración completa a las versiones corregidas.

Herramientas de Explotación

Rapid7, en respuesta a esta vulnerabilidad, ha desarrollado un módulo para Metasploit denominado cisco_sdwan_vhub_auth_bypass. Esta herramienta permite a los atacantes:

• Crear una pareja de claves RSA.
• Contornar la autenticación del vdaemon.
• Escribir la clave pública en el archivo authorized_keys del usuario vmanage-admin.

Potenciales Amenazas

La situación es alarmante. Grupos de atacantes ahora tienen acceso a herramientas listas para su uso, lo que aumenta los riesgos para las organizaciones que no aplican los parches de manera oportuna. Además, Talos ha identificado otros diez grupos explotando diferentes cadenas de vulnerabilidades relacionadas, lo que subraya la necesidad de vigilancia constante.

Verificación de Compromisos

Cisco recomienda a los administradores que efectúen una serie de verificaciones para detectar posibles vulneraciones:

1. Revisión de logs: Examinar /var/log/auth.log en busca de entradas sospechosas que indiquen una aceptación de claves públicas desde direcciones IP no reconocidas.
2. Comandos de Control: Usar show control connections detail y show control connections-history detail para monitorear conexiones no autenticadas.

Un estado de sesión state:up con un contador challenge-ack de cero indica un par no autenticado.

Importancia de la Centralización

Jonah Burgess, investigador senior de Rapid7, destaca que un solo controlador comprometido puede poner en riesgo a toda la arquitectura de SD-WAN. A pesar de estos riesgos, tanto Cisco como Rapid7 aclaran que no hay justificación técnica para exponer el puerto UDP 12346 a Internet, enfatizando la importancia de mantener prácticas de seguridad sólidas.

Conclusión

Ante la gravedad de la CVE-2026-20182, es vital que los directores de tecnología (DSI) actúen de inmediato. Las organizaciones deben mantenerse proactivas en la aplicación de correcciones de seguridad, así como en la monitorización constante de su infraestructura de red para mitigar el riesgo de ser víctimas de ataques cibernéticos. La seguridad de la información no es solo responsabilidad del departamento de TI, sino de toda la organización.

General

About the Author

teknomers

Administrator

Visit Website View All Posts