Agência de cibersegurança dos EUA alerta para brecha em SD WAN da Cisco em agências federais
Órgãos do governo foram orientados a fazer inventário em todos os sistemas Cisco e compartilhar achados em dez dias.
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) emitiu uma diretiva de emergência alertando que atacantes estão explorando ativamente vulnerabilidades em equipamentos Cisco Catalyst SD-WAN implantados em redes federais americanas. A diretiva, identificada como Emergency Directive 26-03, determina que agências governamentais identifiquem sistemas afetados, coletem evidências forenses, apliquem atualizações de segurança e investiguem possíveis comprometimentos com urgência.
No centro do alerta está uma falha catalogada como CVE-2026-20127, classificada como uma vulnerabilidade crítica de contorno de autenticação com pontuação máxima de 10 no índice CVSS de severidade. Segundo autoridades de segurança, a brecha permite que um atacante sem qualquer credencial obtenha acesso administrativo à infraestrutura SD-WAN, abrindo caminho para a manipulação de configurações de rede ou a interrupção do tráfego em sistemas governamentais. Como a tecnologia afetada é amplamente utilizada para gerenciar redes corporativas distribuídas, uma exploração bem-sucedida poderia conceder aos invasores controle abrangente sobre comunicações críticas.
Sob os termos da diretiva, as agências federais devem cumprir uma série de obrigações dentro de prazos escalonados até 23 de março de 2026. Entre as exigências estão o inventário de todos os sistemas Cisco SD-WAN afetados com envio à CISA, a configuração dos dispositivos para armazenamento externo de registros, a coleta de artefatos forenses, a aplicação das atualizações de segurança disponibilizadas pelo fabricante e a investigação ativa de sinais de comprometimento. Caso seja detectado acesso de nível raiz nos sistemas, as agências são obrigadas a reconstruir toda a infraestrutura afetada. Os dados de registro coletados devem ser encaminhados pelo programa Cloud Logging Aggregation Warehouse da CISA, que permite aos investigadores analisar atividades em múltiplas redes de forma centralizada.
As determinações se aplicam a todos os sistemas civis do poder executivo federal, incluindo ambientes de tecnologia da informação operados diretamente pelas agências e aqueles hospedados por provedores terceirizados em seu nome.
O enfoque da diretiva na coleta de artefatos e no registro centralizado indica uma tentativa de se dimensionar a extensão real das explorações. A CISA tem razões concretas para acreditar que as vulnerabilidades foram e continuam sendo exploradas por agentes maliciosos para comprometer sistemas e redes governamentais.
