**CISA** determinou que agências do Federal Civilian Executive Branch (FCEB) devem remediar a **CVE-2026-20182** até 17 de maio de 2026. ## Bypass de Autenticação no Cisco Catalyst SD-WAN Controller A vulnerabilidade, **CVE-2026-20182**, é um bypass de autenticação crítico que afeta o **Cisco** Catalyst SD-WAN Controller. Com uma pontuação máxima de severidade de 10.0 no CVSS, ela permite que atacantes remotos não autenticados obtenham privilégios administrativos. "O **Cisco** Catalyst SD-WAN Controller e Manager contêm uma vulnerabilidade de bypass de autenticação que permite que um atacante remoto não autenticado contorne a autenticação e obtenha privilégios administrativos em um sistema afetado", declarou a **CISA** em seu aviso. ## Exploração Ativa e Atribuição de Atores de Ameaças A **Cisco Talos** atribui a exploração ativa da **CVE-2026-20182** com alta confiança ao UAT-8616, um cluster de ameaças previamente associado à exploração da **CVE-2026-20127**. "O UAT-8616 realizou ações pós-comprometimento semelhantes após explorar com sucesso a **CVE-2026-20182**, como foi observado na exploração da **CVE-2026-20127** pelo mesmo ator de ameaça", relatou a **Cisco Talos**. O atacante tentou adicionar chaves SSH, modificar configurações NETCONF e escalar para privilégios de root. ## Infraestrutura Sobreposta e Vulnerabilidades Encapsuladas A infraestrutura utilizada pelo UAT-8616 se sobrepõe às redes Operational Relay Box (ORB). Múltiplos clusters de ameaças também estão explorando as **CVE-2026-20133**, **CVE-2026-20128** e **CVE-2026-20122**, a partir de março de 2026. Quando encadeadas, essas três vulnerabilidades podem permitir que um atacante remoto não autenticado obtenha acesso não autorizado. Elas foram adicionadas ao catálogo KEV da **CISA** no mês passado. ## Implantação de Web Shell e Clusters de Atores de Ameaças Os atacantes estão aproveitando o código de exploit de prova de conceito publicamente disponível para implantar web shells em sistemas comprometidos, permitindo a execução de comandos bash arbitrários. Um desses web shells baseado em JavaServer Pages (JSP), apelidado de XenShell, utiliza um PoC lançado pela ZeroZenX Labs. Pelo menos 10 clusters distintos foram identificados explorando essas falhas: * **Cluster 1** (Ativo desde pelo menos 6 de março de 2026): Implanta o web shell Godzilla. * **Cluster 2** (Ativo desde pelo menos 10 de março de 2026): Implanta o web shell Behinder. * **Cluster 3** (Ativo desde pelo menos 4 de março de 2026): Implanta o web shell XenShell e uma variante do Behinder. * **Cluster 4** (Ativo desde pelo menos 3 de março de 2026): Implanta uma variante do webshell Godzilla. * **Cluster 5** (Ativo desde pelo menos 13 de março de 2026): Implanta um agente de malware compilado a partir do framework de red teaming AdaptixC2. * **Cluster 6** (Ativo desde pelo menos 5 de março de 2026): Implanta o framework de comando e controle (C2) Sliver. * **Cluster 7** (Ativo desde pelo menos 25 de março de 2026): Implanta um minerador XMRig. * **Cluster 8** (Ativo desde pelo menos 10 de março de 2026): Implanta a ferramenta de mapeamento de ativos KScan e um backdoor baseado em Nim, provavelmente derivado do NimPlant, capaz de operações de arquivo, execução bash e coleta de informações do sistema. * **Cluster 9** (Ativo desde pelo menos 17 de março de 2026): Implanta um minerador XMRig e uma ferramenta de proxy e tunelamento peer-to-peer chamada gsocket. * **Cluster 10** (Ativo desde pelo menos 13 de março de 2026): Implanta um roubador de credenciais visando dumps de hash de usuários administradores, pedaços de chave JSON Web Tokens (JWT) para autenticação de API REST e credenciais AWS para vManage. ## Recomendações da Cisco A **Cisco** exorta os clientes a aderirem às orientações e recomendações fornecidas nos avisos para essas vulnerabilidades para proteger seus ambientes.