**Cisco** alerta que uma falha crítica de bypass de autenticação no Controlador Catalyst SD-WAN, rastreada como **CVE-2026-20182**, foi ativamente explorada em ataques zero-day que permitiram que atacantes obtivessem privilégios administrativos em dispositivos comprometidos. **CVE-2026-20182** tem uma severidade máxima de 10.0 e afeta **Cisco Catalyst SD-WAN Controller** e **Cisco Catalyst SD-WAN Manager** em implantações on-premise e SD-WAN Cloud. ### Detalhes da Vulnerabilidade Em um aviso publicado hoje, a **Cisco** informou que o problema decorre de um mecanismo de autenticação de peering que "não está funcionando corretamente". "Esta vulnerabilidade existe porque o mecanismo de autenticação de peering em um sistema afetado não está funcionando corretamente. Um atacante poderia explorar esta vulnerabilidade enviando requisições maliciosas para o sistema afetado", diz o [aviso da Cisco sobre CVE-2026-20182](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW). "Uma exploração bem-sucedida poderia permitir que o atacante fizesse login em um **Cisco Catalyst SD-WAN Controller** afetado como uma conta de usuário interna, com altos privilégios, não root. Usando esta conta, o atacante poderia acessar o NETCONF, o que permitiria ao atacante manipular a configuração de rede para o fabric SD-WAN." **Cisco Catalyst SD-WAN** é uma plataforma de rede baseada em software que conecta filiais, data centers e ambientes de nuvem através de um sistema gerenciado centralmente. Ele usa um controlador para rotear tráfego de forma segura entre sites por meio de conexões criptografadas. ### Exploração Ativa A empresa afirma ter detectado atores de ameaças explorando a falha em maio, mas não compartilhou detalhes sobre como ela foi explorada. No entanto, indicadores de comprometimento (IOCs) compartilhados alertam os administradores para verificarem eventos de peering não autorizados nos logs do SD-WAN Controller, o que pode indicar tentativas de registrar dispositivos maliciosos dentro do fabric SD-WAN. Ao adicionar um peer malicioso, um atacante poderia inserir um dispositivo malicioso no ambiente SD-WAN que parecesse legítimo. Esse dispositivo poderia então estabelecer conexões criptografadas e anunciar redes sob o controle do atacante, permitindo que eles se aprofundassem na rede de uma organização. ### Descoberta e Relação com Vulnerabilidades Anteriores A falha foi [descoberta pela **Rapid7**](https://www.rapid7.com/blog/post/ve-cve-2026-20182-critical-authentication-bypass-cisco-catalyst-sd-wan-controller-fixed/) enquanto pesquisava uma vulnerabilidade diferente no controlador **Cisco SD-WAN**, rastreada como [**CVE-2026-20127**](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk), que foi corrigida em fevereiro. **CVE-2026-20127** também foi [explorada em ataques zero-day](https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/) por um ator de ameaça rastreado como "UAT-8616" desde 2023 para criar peers maliciosos em organizações. ### Mitigação e Remediação A **Cisco** lançou atualizações de segurança para corrigir a vulnerabilidade e afirma que não há workarounds que mitiguem completamente o problema. A empresa também recomenda restringir o acesso às interfaces de gerenciamento e plano de controle do SD-WAN a redes internas confiáveis ou apenas a endereços IP autorizados, e revisar os logs de autenticação em busca de atividades de login suspeitas. A **CISA** adicionou a falha **Cisco CVE-2026-20182** ao [Catálogo de Vulnerabilidades Conhecidas e Exploradas](https://www.cisa.gov/news-events/alerts/2026/05/14/cisa-adds-one-known-exploited-vulnerability-catalog), ordenando que agências federais corrijam os dispositivos afetados até 17 de maio de 2026. ### Indicadores de Comprometimento A **Cisco** está instando as organizações a revisarem os logs de quaisquer sistemas Catalyst SD-WAN Controller expostos à internet em busca de eventos que possam indicar acesso não autorizado ou eventos de peering. A empresa afirma que os administradores devem revisar */var/log/auth.log* em busca de entradas que mostrem "Accepted publickey for vmanage-admin" de endereços IP desconhecidos: 2026-02-10T22:51:36+00:00 vm sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY] Os administradores devem comparar os endereços IP nos logs com os IPs do Sistema configurados listados na interface web do **Cisco Catalyst SD-WAN Manager**, em **WebUI** > **Devices** > **System IP**. Se um endereço IP desconhecido autenticou com sucesso, os administradores devem considerar o dispositivo como comprometido e abrir um caso no **Cisco TAC**. A **Cisco** também recomenda revisar os logs do SD-WAN Controller em busca de atividade de peering não autorizada, pois os atacantes podem tentar registrar dispositivos maliciosos dentro do fabric SD-WAN. Jul 26 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: control-connection-state-change new-state:up peer-type:vmanagepeer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005 A **Cisco** recomenda fortemente a atualização para uma versão de software corrigida, pois esta é a única maneira de remediar completamente **CVE-2026-20182**.  ## O Gap de Validação: Pentest Automatizado Responde Uma Pergunta. Você Precisa de Seis. Ferramentas de pentest automatizadas entregam valor real, mas foram criadas para responder a uma pergunta: um atacante pode se mover pela rede? Elas não foram criadas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem se sustentam. Este guia cobre as 6 superfícies que você realmente precisa validar. [Baixe Agora](https://hubs.li/Q048zztN0)