Cisco confirmó el séptimo zero-day en su plataforma SD-WAN en lo que va de 2026: la vulnerabilidad CVE-2026-20245, una falla de escalación de privilegios a root en Cisco Catalyst SD-WAN Manager con puntuación CVSS 7.8. A la fecha de publicación, no hay parche disponible.
La falla fue reportada a Cisco por Mandiant y permite a un atacante autenticado con privilegios netadmin ejecutar comandos arbitrarios con nivel root en el dispositivo afectado. No se trata de un escenario hipotético: la vulnerabilidad ya está siendo explotada activamente.
Séptimo zero-day SD-WAN en 2026
Lo que convierte esta divulgación en una señal de alarma para los equipos de seguridad no es solo la gravedad de CVE-2026-20245, sino el patrón que representa. Siete zero-days explotados en la misma plataforma durante un solo año indica que Cisco Catalyst SD-WAN Manager está bajo escrutinio activo por parte de actores de amenaza. La superficie de ataque de las redes WAN empresariales está siendo sistemáticamente sondeada.
La falla requiere que el atacante ya tenga acceso autenticado con privilegios netadmin. Esto no reduce el riesgo: en entornos donde las credenciales de gestión no están debidamente segmentadas, ese primer acceso puede obtenerse mediante phishing de credenciales o reutilización de contraseñas. Como ya documentamos en ZonaCISO, el 88% del phishing tiene como objetivo robar credenciales de acceso a cuentas, lo que convierte ese primer paso en un vector completamente factible.
Sin parche: qué hacer ahora
Ante la ausencia de corrección disponible, la mitigación debe basarse en controles compensatorios. Los equipos de seguridad deben priorizar tres acciones inmediatas:
- Restringir el acceso CLI exclusivamente a IPs de gestión confiables y previamente definidas
- Revisar logs de configuración en dispositivos edge para detectar cambios no autorizados
- Monitorear activamente cualquier modificación no esperada en la configuración de los dispositivos SD-WAN
Implicancias para empresas chilenas
En Chile, las empresas de telecomunicaciones y las grandes corporaciones que operan redes WAN distribuidas con infraestructura Cisco deben considerar esta vulnerabilidad como prioritaria. Quienes sean Operadores de Importancia Vital (OIV) bajo la Ley 21.663 Marco de Ciberseguridad tienen la obligación de notificar a la ANCI ante un incidente confirmado. Sin parche disponible, la notificación preventiva y la implementación de controles compensatorios son las únicas vías de gestión del riesgo en este momento.
Vale recordar que la ANCI ya publicó la nómina de OIV en el marco de la Ley de Ciberseguridad. Si tu organización forma parte de ese listado, la gestión de esta vulnerabilidad no es opcional.
Fuente: SecurityWeek — https://www.securityweek.com/cisco-warns-of-7th-sd-wan-zero-day-exploited-in-2026/