Cisco bajo fuego: SSRF y 0-day en SD-WAN explotados activamente

¿Qué ha ocurrido?

Dos vulnerabilidades críticas en productos de Cisco están siendo explotadas activamente. La primera, CVE-2026-20230, es un server-side request forgery (SSRF) en Cisco Unified Communications Manager (CUCM). Cisco parchó el fallo a principios de junio y ya existía un proof-of-concept. Ahora, la firma de inteligencia de amenazas Defused ha confirmado que atacantes están utilizando ese exploit para desplegar un servicio Apache Axis malicioso, escribir un JSP de primera etapa y finalmente un shell de ejecución de comandos en /platform-services/axis2-web/. El atacante obtiene privilegios de root en el dispositivo comprometido.

La segunda, CVE-2026-20245, es un 0-day en Cisco Catalyst SD-WAN que permite a un atacante autenticado local ejecutar comandos arbitrarios como root mediante un archivo manipulado. Cisco lo reveló en junio, pero Mandiant descubrió que la explotación comenzó mucho antes, a principios de 2026. En un incidente con un proveedor de servicios de comunicaciones, el atacante obtuvo acceso inicial a través de una conexión de peering no autorizada, abusó de la trama SD-WAN para autenticarse vía SSH, cambió la contraseña de la cuenta admin, exfiltró configuraciones y luego, para no ser detectado, restauró la contraseña original. Para escalar a root, subió un archivo llamado evil_tenant.csv que contenía el payload del exploit, creando una cuenta troot con privilegios completos.

¿Por qué es importante?

Estas vulnerabilidades representan una amenaza grave para infraestructuras críticas. CUCM es el corazón de las comunicaciones unificadas en muchas empresas; un compromiso permite interceptar llamadas, modificar configuraciones y moverse lateralmente. SD-WAN, por su parte, gestiona el tráfico de red de toda una organización. Como señala Mandiant, un atacante con acceso root al controlador SD-WAN tiene visibilidad total del tráfico corporativo, lo que lo convierte en un objetivo prioritario para grupos patrocinados por estados que buscan establecer acceso persistente para espionaje a largo plazo. Cisco ya ha reportado seis vulnerabilidades en SD-WAN bajo ataque desde inicio de año, y este es el segundo 0-day en dos meses.

Consecuencias y contexto

El caso de CVE-2026-20245 es particularmente preocupante porque demuestra que los atacantes están explotando fallos antes de que Cisco los conozca, y que logran mantener el acceso sin ser detectados durante meses. La técnica de cambiar la contraseña y luego restaurarla indica un alto grado de sofisticación y conocimiento de las operaciones de la víctima. Para las empresas, esto significa que los parches no son suficientes; se requiere monitorización activa de comportamientos anómalos en dispositivos de red, especialmente en cuentas administrativas y en el tráfico de gestión.

Además, la cadena de explotación de CVE-2026-20230 muestra cómo los atacantes combinan múltiples técnicas (SSRF, despliegue de servicios maliciosos, escritura de archivos) para lograr una puerta trasera persistente. Las organizaciones que usan CUCM deben verificar que han aplicado el parche de junio y revisar sus registros en busca de actividad sospechosa en los endpoints mencionados.

¿Qué deben saber los lectores?

• Parchear inmediatamente: Cisco ha publicado actualizaciones para ambas vulnerabilidades. Si no se han aplicado, hágalo de urgencia.
• Monitorear indicadores de compromiso: Busque archivos evil_tenant.csv o similares, cuentas como troot, y actividad inusual en /platform-services/axis2-web/.
• Revisar cuentas administrativas: Cambie contraseñas predeterminadas y audite los accesos SSH y web a dispositivos SD-WAN y CUCM.
• Segmentar redes: Limite el peering no autorizado y restrinja el acceso a la interfaz de gestión solo a direcciones IP confiables.
• Prepararse para más: La tendencia de ataques a SD-WAN continuará. Considere soluciones de detección de intrusiones específicas para este tipo de dispositivos.

“El atacante explotó CVE-2026-20245 para escalar a root y creó una cuenta llamada troot con privilegios completos. Luego restauró la contraseña original para no levantar sospechas”, detalla Mandiant en su informe.

En resumen, estamos ante una situación crítica que requiere acción inmediata. La combinación de un SSRF explotado activamente y un 0-day en SD-WAN con uso anticipado subraya la necesidad de una postura de seguridad proactiva, más allá de la simple aplicación de parches.