Vulnerabilidades Críticas de Março 2026: Cisco SD-WAN e Android sob Ataque

O início de março de 2026 trouxe dois alertas de segurança que exigem atenção imediata de empresas e profissionais de TI. Uma vulnerabilidade de severidade máxima no Cisco Catalyst SD-WAN e a maior atualização de segurança do Android em quase uma década revelam a sofisticação crescente das ameaças cibernéticas — e a urgência de manter sistemas atualizados.

Cisco SD-WAN: Zero-Day com CVSS 10.0 Explorado Desde 2023

A vulnerabilidade CVE-2026-20127 no Cisco Catalyst SD-WAN Controller e SD-WAN Manager recebeu a nota máxima de severidade: CVSS 10.0. O mais alarmante é que ela foi explorada ativamente desde 2023 sem ser detectada, segundo o Australian Signals Directorate (ASD).

A aliança Five Eyes (EUA, Reino Unido, Canadá, Austrália e Nova Zelândia) emitiu um alerta conjunto urgente sobre a falha, classificando o grupo responsável como UAT-8616 — descrito como "altamente sofisticado".

Como Funciona o Ataque

A falha permite que um atacante remoto sem autenticação envie requisições manipuladas para obter privilégios administrativos no sistema. A cadeia de ataque inclui:

• Bypass de autenticação no mecanismo de peering do SD-WAN
• Downgrade de software para explorar a falha CVE-2022-20775 (escalação de privilégios)
• Criação de dispositivos peer falsos dentro da rede da vítima
• Instalação de chaves SSH para acesso root persistente
• Manipulação de configurações via NETCONF na porta 830
• Limpeza de logs para dificultar investigações forenses

Quem é Afetado

A vulnerabilidade impacta implantações on-premises, ambientes Cisco Hosted SD-WAN Cloud e até ambientes FedRAMP. Ou seja, a superfície de ataque é ampla e inclui tanto infraestruturas locais quanto na nuvem.

A CISA (Agência de Segurança Cibernética dos EUA) adicionou a vulnerabilidade ao seu catálogo Known Exploited Vulnerabilities (KEV) e determinou que agências federais apliquem patches em 24 horas.

Android: 129 Vulnerabilidades Corrigidas em Março

Paralelamente, o Google lançou a atualização de segurança de março de 2026 para Android, corrigindo 129 vulnerabilidades — o maior volume de patches em um único mês desde abril de 2018.

O destaque é a CVE-2026-21385, uma falha de corrupção de memória em componentes de display da Qualcomm, com evidências de exploração ativa e direcionada. A vulnerabilidade, com CVSS 7.8, permite execução de código arbitrário em dispositivos afetados.

Falhas Mais Graves

Entre as 129 correções, destacam-se:

• CVE-2026-0006 (Crítica): Execução remota de código no componente System, sem necessidade de privilégios ou interação do usuário
• CVE-2026-0047: Escalação de privilégios no Framework
• CVE-2025-48631: Negação de serviço no componente System
• Sete vulnerabilidades de escalação de privilégios no kernel

A atualização foi estruturada em dois níveis de patch (2026-03-01 e 2026-03-05), permitindo que fabricantes priorizem as correções mais urgentes da plataforma Android antes de tratar falhas de hardware específicas.

O Que Sua Empresa Deve Fazer Agora

Essas vulnerabilidades reforçam a importância de uma postura proativa de segurança. Recomendações imediatas:

Para infraestrutura Cisco SD-WAN:

• Aplicar imediatamente as atualizações para versões corrigidas (20.9.8.2 a 20.18.2.1)
• Realizar análise forense para identificar possíveis comprometimentos anteriores
• Revisar logs de acesso administrativo em busca de atividades suspeitas
• Implementar o guia de hardening publicado pela Cisco

Para dispositivos Android corporativos:

• Garantir que todos os dispositivos estejam no nível de patch 2026-03-05 ou superior
• Priorizar a atualização de dispositivos com chipsets Qualcomm
• Revisar políticas de MDM (Mobile Device Management) para forçar atualizações
• Considerar restrições de acesso para dispositivos não atualizados

Práticas gerais de segurança:

• Manter um inventário atualizado de todos os ativos de rede e dispositivos móveis
• Implementar monitoramento contínuo de vulnerabilidades
• Estabelecer SLAs internos para aplicação de patches críticos (ideal: até 48 horas)
• Realizar testes de penetração periódicos na infraestrutura

Conclusão

O início de março de 2026 deixa claro que vulnerabilidades críticas não esperam. Um zero-day explorado silenciosamente por três anos no Cisco SD-WAN e a maior atualização de segurança Android em quase uma década demonstram que empresas de todos os portes precisam investir em processos robustos de gestão de vulnerabilidades.

A CFATECH oferece serviços especializados em segurança cibernética e infraestrutura de TI, ajudando sua empresa a identificar, priorizar e remediar vulnerabilidades antes que sejam exploradas.

Fontes

• The Hacker News: Cisco SD-WAN Zero-Day CVE-2026-20127 Exploited Since 2023
• The Hacker News: Google Confirms CVE-2026-21385 in Qualcomm Android Component
• SecurityWeek: Cisco Patches Catalyst SD-WAN Zero-Day Exploited by Highly Sophisticated Hackers
• Cyber Security News: Android Security Update March 2026
• Cyber News Centre: Five Eyes Issue Urgent Warning on Cisco SD-WAN Zero-Day

Tags: Segurança, Cisco, Android, Zero-Day, Vulnerabilidades, Infraestrutura de TI, CFATECH