CISA ordena a agencias federales parchear vulnerabilidad de Cisco SD-WAN explotada activamente
La **Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA)** ha emitido una alerta, obligando a las agencias federales a parchear una vulnerabilidad crítica en **Cisco** Catalyst SD-WAN Manager. La vulnerabilidad, **CVE-2026-20133**, supuestamente está siendo explotada activamente en la naturaleza, representando un riesgo significativo para las redes gubernamentales.
**CISA** ha otorgado a las agencias gubernamentales un plazo de cuatro días para asegurar sus sistemas contra **CVE-2026-20133**, una vulnerabilidad de **Catalyst SD-WAN Manager**.
Catalyst SD-WAN Manager (anteriormente conocido como vManage) es un software de gestión de red diseñado para monitorear y administrar hasta 6,000 dispositivos Catalyst SD-WAN desde un único panel.
Cisco parcheó esta vulnerabilidad de divulgación de información (**CVE-2026-20133**) a finales de febrero, indicando que permite a atacantes remotos no autenticados acceder a información sensible en dispositivos sin parchear.
"Esta vulnerabilidad se debe a restricciones insuficientes en el acceso al sistema de archivos. Un atacante podría explotar esta vulnerabilidad accediendo a la API de un sistema afectado", declaró **Cisco**. "Una explotación exitosa podría permitir al atacante leer información sensible en el sistema operativo subyacente".
Una semana después, la compañía reveló que otras dos fallas de seguridad parcheadas el mismo día (**CVE-2026-20128** y **CVE-2026-20122**) también estaban siendo explotadas en la naturaleza.
## Agencias Federales Ordenadas a Parchear Antes del Viernes
El lunes, **CISA** agregó **CVE-2026-20133** a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando "evidencia de explotación activa". Se ha ordenado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que aseguren sus redes antes del viernes 24 de abril.
"Por favor, cumplan con las directrices de CISA para evaluar la exposición y mitigar los riesgos asociados con los dispositivos SD-WAN de **Cisco** según lo descrito en la Directiva de Emergencia 26-03 de CISA y la Guía de Caza y Fortalecimiento de CISA para Dispositivos SD-WAN de Cisco", declaró CISA. "Cumplan con la guía aplicable de BOD 22-01 para servicios en la nube o descontinúen el uso del producto si no hay mitigaciones disponibles".
**Cisco** aún no ha confirmado el informe de **CISA** sobre explotación activa. Su aviso de seguridad todavía indica que el Equipo de Respuesta a Incidentes de Seguridad de Producto (PSIRT) "no tiene conocimiento de ningún anuncio público o uso malicioso de las vulnerabilidades que se describen en **CVE-2026-20133**".
En febrero, **Cisco** también marcó una vulnerabilidad crítica de omisión de autenticación (**CVE-2026-20127**) como explotada en ataques de cero-day, permitiendo a los actores de amenazas agregar pares maliciosos no autorizados a redes objetivo desde al menos 2023.
Más recientemente, a principios de marzo, la compañía lanzó actualizaciones de seguridad para abordar dos vulnerabilidades de máxima severidad en su software Secure Firewall Management Center (FMC), que podrían permitir a los atacantes obtener acceso root y ejecutar código Java arbitrario con privilegios de root.
En los últimos años, **CISA** ha marcado 91 vulnerabilidades de **Cisco** como explotadas en la naturaleza, seis de las cuales han sido utilizadas por diversas operaciones de ransomware.
