Basado en información de The Hacker News →
Introducción
Cuando un fabricante de la talla de Cisco parchea una vulnerabilidad crítica y, semanas después, se descubre que un actor de amenazas ya la estaba explotando en ataques reales, la industria de la ciberseguridad entera presta atención. Este incidente nos recuerda que el "día cero" no es teoría: es la línea de tiempo real de un ataque que ya estaba en marcha.
El problema
De acuerdo con un reporte de The Hacker News, la firma de inteligencia de amenazas Mandiant (propiedad de Google) reveló que un actor de amenazas desconocido explotó una vulnerabilidad de alta severidad en Cisco Catalyst SD-WAN al menos dos meses antes de que su parche fuera publicado oficialmente. La falla, identificada como CVE-2026-20245 y con un puntaje CVSS de 7.8, permite a un atacante con acceso local autenticado ejecutar comandos arbitrarios y obtener privilegios elevados de root en el dispositivo comprometido.
Consecuencias
El impacto real de esta vulnerabilidad va más allá de un simple parche atrasado. En un entorno SD-WAN, el router o controlador comprometido no es solo un punto de red; es la puerta de entrada a toda la infraestructura corporativa. Un atacante con acceso root puede redirigir tráfico sensible, robar credenciales de autenticación, establecer persistencia y usar el dispositivo como pivote para atacar otros sistemas internos. Para una empresa que depende de su red definida por software para conectar sucursales y sedes, el riesgo de interrupción del servicio y fuga de datos críticos es inminente.