**CISA** ha ordenado que las agencias del Poder Ejecutivo Civil Federal (FCEB) remedien **CVE-2026-20182** antes del 17 de mayo de 2026. ## Bypass de Autenticación en Cisco Catalyst SD-WAN Controller La vulnerabilidad, **CVE-2026-20182**, es un bypass de autenticación crítico que afecta al Controlador Cisco Catalyst SD-WAN. Con una severidad máxima de 10.0 en la escala CVSS, permite a atacantes remotos no autenticados obtener privilegios administrativos. "El Controlador y Gerente Cisco Catalyst SD-WAN contienen una vulnerabilidad de bypass de autenticación que permite a un atacante remoto no autenticado eludir la autenticación y obtener privilegios administrativos en un sistema afectado", declaró **CISA** en su aviso. ## Explotación Activa y Atribución de Actores de Amenazas **Cisco Talos** atribuye la explotación activa de **CVE-2026-20182** con alta confianza a UAT-8616, un clúster de amenazas previamente vinculado a la explotación de **CVE-2026-20127**. "UAT-8616 realizó acciones post-compromiso similares después de explotar con éxito **CVE-2026-20182**, como se observó en la explotación de **CVE-2026-20127** por el mismo actor de amenazas", informó **Cisco Talos**. El atacante intentó agregar claves SSH, modificar configuraciones NETCONF y escalar a privilegios de root. ## Infraestructura Superpuesta y Vulnerabilidades Encadenadas La infraestructura utilizada por UAT-8616 se superpone con las redes de Operational Relay Box (ORB). Múltiples clústeres de amenazas también están explotando **CVE-2026-20133**, **CVE-2026-20128** y **CVE-2026-20122**, a partir de marzo de 2026. Cuando se encadenan, estas tres vulnerabilidades pueden permitir a un atacante remoto no autenticado obtener acceso no autorizado. Fueron añadidas al catálogo KEV de **CISA** el mes pasado. ## Despliegue de Web Shell y Clústeres de Actores de Amenazas Los atacantes están aprovechando el código de exploit de prueba de concepto (PoC) disponible públicamente para desplegar web shells en sistemas comprometidos, lo que permite la ejecución de comandos bash arbitrarios. Uno de esos web shells basado en JavaServer Pages (JSP), apodado XenShell, utiliza un PoC publicado por ZeroZenX Labs. Se han identificado al menos 10 clústeres distintos explotando estas fallas: * **Clúster 1** (Activo desde al menos el 6 de marzo de 2026): Despliega el web shell Godzilla. * **Clúster 2** (Activo desde al menos el 10 de marzo de 2026): Despliega el web shell Behinder. * **Clúster 3** (Activo desde al menos el 4 de marzo de 2026): Despliega el web shell XenShell y una variante de Behinder. * **Clúster 4** (Activo desde al menos el 3 de marzo de 2026): Despliega una variante del webshell Godzilla. * **Clúster 5** (Activo desde al menos el 13 de marzo de 2026): Despliega un agente malware compilado a partir del framework de red teaming AdaptixC2. * **Clúster 6** (Activo desde al menos el 5 de marzo de 2026): Despliega el framework de comando y control (C2) Sliver. * **Clúster 7** (Activo desde al menos el 25 de marzo de 2026): Despliega un minero XMRig. * **Clúster 8** (Activo desde al menos el 10 de marzo de 2026): Despliega la herramienta de mapeo de activos KScan y un backdoor basado en Nim, probablemente basado en NimPlant, capaz de realizar operaciones de archivo, ejecución de bash y recopilación de información del sistema. * **Clúster 9** (Activo desde al menos el 17 de marzo de 2026): Despliega un minero XMRig y una herramienta de proxy y tunneling peer-to-peer llamada gsocket. * **Clúster 10** (Activo desde al menos el 13 de marzo de 2026): Despliega un ladrón de credenciales dirigido a volcados de hash de usuario administrador, fragmentos de claves JSON Web Tokens (JWT) para autenticación de API REST y credenciales de AWS para vManage. ## Recomendaciones de Cisco **Cisco** insta a los clientes a seguir la guía y las recomendaciones proporcionadas en los avisos de estas vulnerabilidades para proteger sus entornos.