**Cisco** advierte que una falla crítica de omisión de autenticación en el Controlador Catalyst SD-WAN, rastreada como **CVE-2026-20182**, fue explotada activamente en ataques de día cero que permitieron a los atacantes obtener privilegios administrativos en dispositivos comprometidos. **CVE-2026-20182** tiene una severidad máxima de 10.0 e impacta a **Cisco Catalyst SD-WAN Controller** y **Cisco Catalyst SD-WAN Manager** en implementaciones on-prem y SD-WAN Cloud. ### Detalles de la Vulnerabilidad En un aviso publicado hoy, **Cisco** indicó que el problema se origina en un mecanismo de autenticación de emparejamiento que "no está funcionando correctamente". "Esta vulnerabilidad existe porque el mecanismo de autenticación de emparejamiento en un sistema afectado no está funcionando correctamente. Un atacante podría explotar esta vulnerabilidad enviando solicitudes manipuladas al sistema afectado", se lee en el [aviso de Cisco CVE-2026-20182](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW). "Una explotación exitosa podría permitir al atacante iniciar sesión en un **Cisco Catalyst SD-WAN Controller** afectado como una cuenta de usuario interna, de alto privilegio y no root. Usando esta cuenta, el atacante podría acceder a NETCONF, lo que luego permitiría al atacante manipular la configuración de red para el tejido SD-WAN". **Cisco Catalyst SD-WAN** es una plataforma de red basada en software que conecta sucursales, centros de datos y entornos en la nube a través de un sistema administrado centralmente. Utiliza un controlador para enrutar de forma segura el tráfico entre sitios a través de conexiones cifradas. ### Explotación Activa La compañía afirma haber detectado actores de amenazas explotando la falla en mayo, pero no compartió detalles sobre cómo fue explotada. Sin embargo, los indicadores de compromiso (IOCs) compartidos advierten a los administradores que verifiquen eventos de emparejamiento no autorizados en los registros del Controlador SD-WAN, lo que podría indicar intentos de registrar dispositivos no autorizados dentro del tejido SD-WAN. Al agregar un par no autorizado, un atacante podría insertar un dispositivo malicioso en el entorno SD-WAN que parezca legítimo. Ese dispositivo podría entonces establecer conexiones cifradas y anunciar redes bajo el control del atacante, permitiéndoles potencialmente moverse más profundamente en la red de una organización. ### Descubrimiento y Relación con Vulnerabilidades Previas La falla fue [descubierta por **Rapid7**](https://www.rapid7.com/blog/post/ve-cve-2026-20182-critical-authentication-bypass-cisco-catalyst-sd-wan-controller-fixed/) mientras investigaba una vulnerabilidad diferente en el controlador **Cisco SD-WAN**, rastreada como [**CVE-2026-20127**](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk), que se corrigió en febrero. **CVE-2026-20127** también fue [explotada en ataques de día cero](https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/) por un actor de amenazas rastreado como "UAT-8616" desde 2023 para crear pares no autorizados en organizaciones. ### Mitigación y Remediación **Cisco** ha lanzado actualizaciones de seguridad para abordar la vulnerabilidad y afirma que no existen soluciones alternativas que mitiguen completamente el problema. La compañía también recomienda restringir el acceso a las interfaces de administración y plano de control de SD-WAN a redes internas confiables o solo a direcciones IP autorizadas, y revisar los registros de autenticación en busca de actividad de inicio de sesión sospechosa. **CISA** ha agregado la falla **Cisco CVE-2026-20182** al [Catálogo de Vulnerabilidades Explotadas Conocidas](https://www.cisa.gov/news-events/alerts/2026/05/14/cisa-adds-one-known-exploited-vulnerability-catalog), ordenando a las agencias federales que apliquen parches a los dispositivos afectados antes del 17 de mayo de 2026. ### Indicadores de Compromiso **Cisco** insta a las organizaciones a revisar los registros de cualquier sistema de Controlador Catalyst SD-WAN expuesto a Internet en busca de eventos que puedan indicar acceso o eventos de emparejamiento no autorizados. La compañía indica que los administradores deben revisar */var/log/auth.log* en busca de entradas que muestren "Accepted publickey for vmanage-admin" de direcciones IP desconocidas: 2026-02-10T22:51:36+00:00 vm sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY] Los administradores deben comparar las direcciones IP en los registros con las IPs del Sistema configuradas en la interfaz web de **Cisco Catalyst SD-WAN Manager**, en **WebUI** > **Devices** > **System IP**. Si una dirección IP desconocida se autenticó con éxito, los administradores deben considerar el dispositivo como comprometido y abrir un caso de **Cisco TAC**. **Cisco** también recomienda revisar los registros del Controlador SD-WAN en busca de actividad de emparejamiento no autorizada, ya que los atacantes pueden intentar registrar dispositivos no autorizados dentro del tejido SD-WAN. Jul 26 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: control-connection-state-change new-state:up peer-type:vmanagepeer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005 **Cisco** recomienda encarecidamente actualizar a una versión de software corregida, ya que esta es la única forma de remediar completamente **CVE-2026-20182**.  ## La Brecha de Validación: Las Pruebas de Penetración Automatizadas Responden Una Pregunta. Necesitas Seis. Las herramientas automatizadas de pruebas de penetración ofrecen un valor real, pero fueron diseñadas para responder una pregunta: ¿puede un atacante moverse por la red? No fueron diseñadas para probar si sus controles bloquean amenazas, si sus reglas de detección se activan o si sus configuraciones en la nube se mantienen. Esta guía cubre las 6 superficies que realmente necesitas validar. [Descargar Ahora](https://hubs.li/Q048zztN0)