← Volver al Blog
Briefing Seguridad 8 min de lectura

Cisco SD-WAN Zero-Day CVE-2026-20127 Directiva de Emergencia + Campaña de Espionaje China

CISA emite directiva de emergencia ED-26-03 para el zero-day Cisco SD-WAN CVE-2026-20127 (CVSS 10.0) — activamente explotado desde 2023. La campaña china UNC2814/GRIDTIDE afecta 53 organizaciones en 42 países. ShinyHunters compromete CarGurus (12,4M registros) y Wynn Resorts. Cadena de suministro de desarrolladores bajo asedio con entrevistas falsas y paquetes maliciosos.


CRÍTICO: Zero-Day Cisco SD-WAN — Directiva de Emergencia CISA

CVE-2026-20127 — CVSS 10.0 — Fecha límite parche: 27 febrero, 5:00 PM ET

La directiva de emergencia CISA ED-26-03 obliga a todas las agencias federales a parchear la omisión de autenticación crítica en Cisco Catalyst SD-WAN Controller y Manager antes de mañana a las 5:00 PM ET. Activamente explotado desde 2023.

Esta es una omisión completa de autenticación que permite a atacantes remotos:

Cadena de Explotación

Australian Signals Directorate descubrió un patrón de ataque sofisticado:

  1. CVE-2026-20127 — Omisión de autenticación inicial
  2. Acceso obtenido — Usuario no-root altamente privilegiado
  3. Degradación firmware — Rollback a versión vulnerable
  4. CVE-2022-20775 — Escalada de privilegios a root
  5. Restauración firmware — Borrar evidencia y mantener acceso

🗡️ Detección KENSAI

Verificar /var/log/auth.log para "Accepted publickey for vmanage-admin" desde IPs desconocidas. Atacantes rastreados como UAT-8616 usan esta huella para acceso inicial.


🇨🇳 Espionaje Chino: UNC2814/GRIDTIDE Golpea 53 Organizaciones

Escala Masiva: 53 Compromisos Confirmados en 42 Países

Google perturbó una campaña de espionaje vinculada a China rastreada desde 2017. UNC2814 usó API Google Sheets para C2 para ocultar tráfico malicioso como llamadas SaaS legítimas.

La puerta trasera GRIDTIDE representa una nueva evolución en el sigilo de estado-nación:

Innovación Técnica

Alcance del Impacto

Región Compromisos Confirmados Objetivos Principales
Asia-Pacífico 23 organizaciones Gobierno, Telecomunicaciones
África 18 organizaciones Gobierno
Américas 12 organizaciones Telecomunicaciones, Infraestructura Crítica
Total Países 42 países 53 confirmadas + 20+ sospechosas

Google terminó todos los proyectos Cloud de atacantes, deshabilitó infraestructura y cortó acceso API. Esto representa una de las campañas de estado-nación más grandes documentadas de 2026.


Doble Golpe ShinyHunters: CarGurus + Wynn Resorts

12,4 Millones de Registros CarGurus Publicados + Extorsión Wynn Resorts

El grupo de extorsión ShinyHunters golpeó dos grandes empresas estadounidenses en la misma semana — la plataforma automotriz CarGurus y el operador de casinos Wynn Resorts.

Brecha CarGurus

Brecha Wynn Resorts

ShinyHunters es parte del supergrupo SLH más grande (Scattered LAPSUS$ + Scattered Spider + ShinyHunters) — una de las operaciones de extorsión más prolíficas de 2026.


Cadena de Suministro Desarrolladores Bajo Asedio

Campaña de Entrevistas de Trabajo Next.js Falsas

Microsoft Defender: Pruebas de Código Falsas Comprometen Desarrolladores

Campaña coordinada usando repositorios Next.js falsos como "pruebas de código" de entrevista de trabajo para comprometer máquinas de desarrolladores a través de disparadores VS Code y npm run dev.

Ejecución multi-etapa:

  1. Ingeniería social — Entrevista de trabajo falsa con prueba de código
  2. Repositorio malicioso — Proyecto Next.js con cargas útiles ocultas
  3. Auto-ejecución — Abrir carpeta VS Code, comandos npm disparan puerta trasera
  4. Etapa 1 — Perfilado de host + registro C2
  5. Etapa 2 — Acceso persistente + exfiltración de datos

Paquetes NuGet Maliciosos

Cuatro paquetes dirigidos a desarrolladores ASP.NET descargados 4,500+ veces:

Los paquetes exfiltran datos ASP.NET Identity (cuentas de usuario, roles, permisos) y establecen proxy localhost que relay a C2 atacante.

RoguePilot: Inyección de Prompt GitHub Copilot

PARCHEADO: Issues GitHub Alimentadas a Copilot como Prompts

Orca Security descubrió inyección de prompt indirecta vía issues GitHub. Instrucciones maliciosas ocultas en comentarios HTML fueron procesadas por Copilot en Codespaces, potencialmente filtrando GITHUB_TOKEN a atacantes.


Evolución Ingeniería Social

SLH Recluta Mujeres para Vishing

El supergrupo Scattered LAPSUS$ Hunters (SLH) ofrece $500-$1,000 por llamada exitosa para reclutar mujeres para ataques vishing de help desk IT. El objetivo: aumentar tasa de éxito a través de diversidad vocal y reducir sospechas.

Los métodos de ataque incluyen:


Consecuencias Legales: Ejecutivo L3Harris Sentenciado

87 Meses de Prisión: Venta de Zero-Days a Rusia

Peter Williams (39, australiano), ex jefe de la unidad Trenchant de L3Harris, sentenciado por vender 8 exploits zero-day al broker de exploits ruso Operation Zero por hasta $4M en criptomoneda.

Detalles del caso:


Números de Hoy

Métrica Valor
Puntuación CVSS Cisco SD-WAN 10.0 (Crítico)
Fecha límite parche federal 27 feb, 5:00 PM ET
Organizaciones comprometidas UNC2814 53 confirmadas
Países afectados por GRIDTIDE 42 países
Registros CarGurus filtrados 12,4 millones
Descargas paquetes NuGet maliciosos 4,500+
Pago SLH vishing por llamada $500-$1,000
Valor venta zero-day L3Harris $4 millones

Prioridades de Hoy

  1. URGENTE: Parchear Cisco SD-WAN CVE-2026-20127 antes del 27 feb 5:00 PM ET
  2. AUDITAR: Revisar logs auth para logins "vmanage-admin" desde IPs desconocidas
  3. MONITOREAR: Tráfico API Google Sheets para patrones C2 GRIDTIDE
  4. ASEGURAR: Entornos desarrollador — escanear por repos entrevistas falsas
  5. VALIDAR: Paquetes NuGet en proyectos ASP.NET (NCryptYo, DOMOAuth2_, etc.)
  6. ENTRENAR: Personal help desk sobre evolución vishing (tácticas diversidad vocal)
  7. ACTUALIZAR: SolarWinds Serv-U a v15.5.4 (4 fallas RCE críticas parcheadas)

¿Su Infraestructura SD-WAN Es Vulnerable?

KENSAI escanea por CVE-2026-20127 y otras vulnerabilidades críticas de infraestructura de red. Escaneo de emergencia disponible para cumplimiento directiva CISA.

Escaneo de Emergencia

Manténganse seguros. Manténganse vigilantes.

🗡️ Equipo de Seguridad KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home