La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una vulnerabilidad recientemente revelada que afecta al controlador SD-WAN Cisco Catalyst a su catálogo de vulnerabilidades explotadas conocidas (KEV), lo que requiere que las agencias del Poder Ejecutivo Civil Federal (FCEB) remedien el problema antes del 17 de mayo de 2026.
La vulnerabilidad es una omisión de autenticación crítica rastreada como CVE-2026-20182. Tiene una calificación de 10,0 en el sistema de puntuación CVSS, lo que indica gravedad máxima.
«El controlador y administrador Cisco Catalyst SD-WAN contienen una vulnerabilidad de omisión de autenticación que permite a un atacante remoto no autenticado omitir la autenticación y obtener privilegios administrativos en un sistema afectado», dijo CISA.
En un aviso separado, Cisco atribuyó la explotación activa de CVE-2026-20182 con alta confianza a UAT-8616, el mismo grupo detrás de la utilización de CVE-2026-20127 como arma para obtener acceso no autorizado a sistemas SD-WAN.
«UAT-8616 realizó acciones posteriores al compromiso similares después de explotar con éxito CVE-2026-20182, como se observó en la explotación de CVE-2026-20127 por parte del mismo actor de amenazas», dijo Cisco Talos. «UAT-8616 intentó agregar claves SSH, modificar configuraciones de NETCONF y escalar a privilegios de root».
Se evalúa que la infraestructura utilizada por UAT-8616 para llevar a cabo actividades de explotación y posteriores al compromiso se superpone con las redes Operational Relay Box (ORB), y la empresa de ciberseguridad también observa múltiples grupos de amenazas que explotan CVE-2026-20133, CVE-2026-20128 y CVE-2026-20122 a partir de marzo de 2026.
Las tres vulnerabilidades, cuando se encadenan, pueden permitir que un atacante remoto no autenticado obtenga acceso no autorizado al dispositivo. Se agregaron al catálogo KEV de CISA el mes pasado.
Se ha descubierto que la actividad aprovecha el código de explotación de prueba de concepto disponible públicamente para implementar shells web en sistemas pirateados, lo que permite a los operadores ejecutar comandos bash arbitrarios. Uno de esos shells web basados en JavaServer Pages (JSP) recibió el nombre en código XenShell debido al uso de una PoC publicada por ZeroZenX Labs.
Al menos 10 grupos diferentes han sido vinculados a la explotación de las tres fallas:
- Grupo 1 (Activo desde al menos el 6 de marzo de 2026), que implementa el shell web de Godzilla
- Grupo 2 (Activo desde al menos el 10 de marzo de 2026), que implementa el shell web Behinder
- Grupo 3 (Activo desde al menos el 4 de marzo de 2026), que implementa el shell web XenShell y una variante de Behinder
- Grupo 4 (Activo desde al menos el 3 de marzo de 2026), que implementa una variante del webshell de Godzilla
- Grupo 5 (Activo desde al menos el 13 de marzo de 2026), cuyo agente de malware compiló a partir del marco de trabajo de equipo rojo AdaptixC2.
- Grupo 6 (Activo desde al menos el 5 de marzo de 2026), que implementa el marco de comando y control (C2) de Sliver
- Grupo 7 (Activo desde al menos el 25 de marzo de 2026), que implementa un minero XMRig
- Grupo 8 (Activo desde al menos el 10 de marzo de 2026), que implementa la herramienta de mapeo de activos KScan y una puerta trasera basada en Nim que probablemente esté basada en NimPlant y viene con capacidades para realizar operaciones de archivos, ejecutar archivos usando bash y recopilar información del sistema.
- Grupo 9 (Activo desde al menos el 17 de marzo de 2026), que implementa un minero XMRig y una herramienta de tunelización y proxy basada en pares llamada gsocket
- Grupo 10 (Activo desde al menos el 13 de marzo de 2026), que implementa un ladrón de credenciales que intenta obtener el volcado de hash de un usuario administrador, fragmentos de claves de tokens web JSON (JWT) que se utilizan para la autenticación de API REST y credenciales de AWS para vManage.
Cisco recomienda que los clientes sigan las pautas y recomendaciones descritas en los avisos para las vulnerabilidades antes mencionadas para proteger sus entornos.