La racha de amenazas continúa para la infraestructura perimetral. Los atacantes están abusando de credenciales de bajo nivel para sobrescribir archivos del sistema y escalar privilegios en las redes corporativas.
El gigante de las telecomunicaciones Cisco ha emitido una nueva advertencia urgente para los administradores de redes. Hoy, 5 de marzo de 2026, se reporta que dos vulnerabilidades adicionales que afectan al sistema de gestión Catalyst SD-WAN Manager (anteriormente conocido como SD-WAN vManage) ya están siendo explotadas activamente por atacantes en la naturaleza.
Las Vulnerabilidades Bajo Ataque
El Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) de Cisco descubrió durante este mes de marzo que los ciberdelincuentes están abusando de estas fallas. Aunque la empresa no ha detallado públicamente la escala de la actividad o quiénes están detrás de estos ataques, los fallos explotados son los siguientes:
- CVE-2026-20122 (Puntuación CVSS de 7.1): Esta es una vulnerabilidad de sobrescritura arbitraria de archivos locales. Un atacante remoto autenticado que posea credenciales válidas de “solo lectura” y acceso a la API puede explotar este fallo para sobrescribir y destruir archivos críticos en el sistema de archivos del equipo.
- CVE-2026-20128 (Puntuación CVSS de 5.5): Se trata de una vulnerabilidad de divulgación de información que facilita la escalada interna. Permite a un atacante local, debidamente autenticado con credenciales de vManage, adquirir los privilegios de usuario elevados del Agente de Recopilación de Datos (DCA) en el sistema comprometido.
Parches y Defensa Perimetral Urgente
Cisco ya había liberado parches oficiales para estos defectos de seguridad (junto con correcciones para otras vulnerabilidades como CVE-2026-20126, CVE-2026-20129 y CVE-2026-20133) a finales del mes pasado. Las versiones seguras disponibles abarcan desde la versión parcheada 20.9.8.2 hasta la 20.18.2.1, dependiendo de la familia de firmware utilizada.
En vista de los ataques activos comprobados, Cisco insta a aplicar medidas de contención complementarias y tácticas de forma inmediata:
- Limitar estrictamente el acceso de los dispositivos desde redes que no sean de confianza.
- Asegurar que los appliances estén operando siempre detrás de un cortafuegos robusto.
- Deshabilitar permanentemente el protocolo HTTP para acceder al portal de administrador de la interfaz web.
- Apagar cualquier servicio de red innecesario, como HTTP y FTP, para reducir la superficie de ataque.
- Modificar inmediatamente la contraseña predeterminada de la cuenta de administrador.
- Monitorear activamente el registro para detectar cualquier tipo de tráfico inesperado.
Una Semana Negra para la Seguridad
Estas nuevas divulgaciones se suman a una serie de alertas severas emitidas por la compañía. Apenas la semana pasada, Cisco reveló que un actor de amenazas altamente sofisticado (rastreado como UAT-8616) explotó una vulnerabilidad de severidad máxima (CVE-2026-20127, CVSS 10.0) en los Controladores y Administradores SD-WAN Catalyst para establecer puntos de apoyo persistentes dentro de organizaciones de alto valor.
Por si fuera poco, esta misma semana la empresa se vio obligada a lanzar actualizaciones para corregir dos fallos catastróficos adicionales (CVE-2026-20079 y CVE-2026-20131, ambos con puntuación CVSS 10.0) en Secure Firewall Management Center. Esos defectos críticos permitían a atacantes remotos no autenticados eludir las barreras de autenticación y ejecutar código Java arbitrario con privilegios de administrador (root).
