El grupo de ciberespionaje “UAT-8616” lleva años creando dispositivos “fantasma” dentro de las redes SD-WAN para manipular el tráfico. CISA ha emitido una orden de emergencia (24 horas) para parchear los equipos afectados.
La seguridad en el perímetro de las redes corporativas acaba de sufrir un terremoto. Hoy 26 de febrero de 2026, el descubrimiento de una vulnerabilidad de severidad máxima en los sistemas Catalyst SD-WAN Controller (antes vSmart) y Catalyst SD-WAN Manager (antes vManage) de Cisco.
Registrado como CVE-2026-20127 y con una puntuación perfecta y aterradora de 10.0 en la escala CVSS, este fallo de zero-day no es una amenaza teórica. Según los informes, ha estado siendo explotado de manera silenciosa en la naturaleza desde 2023 por un grupo de amenazas altamente sofisticado.
El Fallo: Autenticación Rota y Nodos Fantasma
Cisco explicó en su aviso de seguridad que el problema radica en el mecanismo de autenticación de peering (interconexión entre nodos) del sistema, el cual “no funciona correctamente”.
- El Exploit Inicial: Un atacante remoto, sin necesidad de autenticación previa, puede enviar una solicitud web manipulada para saltarse los controles y obtener acceso administrativo como un usuario no root pero con altos privilegios.
- La Infiltración (El Nodo Fantasma): El Centro de Seguridad Cibernética de Australia (ASD-ACSC), responsable de reportar inicialmente el fallo, descubrió la táctica maestra del grupo atacante (rastreado como UAT-8616). Utilizando este fallo, los hackers crean un dispositivo “rebelde” o “rogue peer” que se une al plano de control de la red SD-WAN de la víctima. Este dispositivo actúa como un componente legítimo de la red, permitiendo a los atacantes manipular configuraciones a su antojo.
De Administrador a “Root” (CVE-2022-20775)
Una vez dentro, el grupo UAT-8616 demostró un conocimiento profundo de la arquitectura de Cisco. Para obtener control absoluto del sistema operativo subyacente (root), abusaron del mecanismo de actualización integrado. Forzaron una degradación de versión de software temporal (downgrade) para explotar deliberadamente un bug antiguo (CVE-2022-20775, de escalada de privilegios). Una vez obtenido el acceso root, añadieron claves SSH propias, purgaron los registros (/var/log) para borrar sus huellas y volvieron a actualizar el software a su versión original como si nada hubiera pasado.
Pánico y Orden de Emergencia (CISA)
La gravedad de la situación, al apuntar directamente contra la infraestructura crítica, obligó a la Agencia de Ciberseguridad de EE. UU. (CISA) a emitir una Directiva de Emergencia (26-03). CISA ha ordenado a todas las agencias civiles federales que apliquen los parches dentro de las próximas 24 horas y que envíen un inventario detallado de posibles compromisos para el 5 de marzo.
Plan de Acción para Empresas
- Parchear Inmediatamente: Cisco ha comenzado a liberar parches fijos (por ejemplo, actualizando de la versión 20.12.5 a la 20.12.5.3, o la 20.18 a la 20.18.2.1). Se recomienda revisar la tabla oficial de actualizaciones según la rama en uso.
- Caza de Amenazas (Threat Hunting): No basta con actualizar; hay que asumir que el atacante ya podría estar dentro. CISA y Cisco recomiendan revisar rigurosamente los siguientes archivos:
- /var/log/auth.log buscando el evento “Accepted publickey for vmanage-admin” proveniente de IPs desconocidas.
- /var/volatile/log/vdebug y sw_script_synccdb.log en busca de eventos de reinicio inesperados o intentos de downgrade de software.
