Vulnerabilidad Critica en Cisco ISE
Cisco publica avisos de seguridad periódicamente para notificar a sus consumidores sobre nuevas vulnerabilidades que afecten a sus productos. Esto con el fin de que el cliente esté informado y tome las acciones pertinentes, dependiendo de la vulnerabilidad discutida.
El pasado 25 de junio de 2025, Cisco liberó un aviso que discutía las vulnerabilidades identificadas como CVE-2025-20281 y CVE-2025-20282. Estas fueron clasificadas con un puntaje CVSS de 9.8 y 10.0, respectivamente, convirtiéndolas en vulnerabilidades críticas.
Ambas CVE afectan a la solución ISE, la cual es una solución NAC (Network Access Control) utilizada para gestionar el acceso de terminales, usuarios y dispositivos en la red. Las vulnerabilidades residen en la API de Cisco ISE y Cisco ISE-PIC.
CVE-2025-20281
Esta vulnerabilidad es posible debido a que no existe una validación apropiada de los inputs proporcionados por el usuario en Cisco ISE y ISE-PIC 3.3. Esto permite que un atacante explote la vulnerabilidad al enviar paquetes especialmente diseñados a la API, pudiendo así obtener privilegios root en el sistema.
CVE-2025-20282
Esta vulnerabilidad es posible debido a que Cisco ISE y ISE-PIC 3.4 no cuentan con una verificación para prevenir la carga de archivos en directorios con privilegios. Esto da lugar a que un atacante pueda subir archivos maliciosos a un directorio privilegiado y ejecutarlos como usuario root.
Cisco ya ha liberado las versiones correspondientes para corregir estas vulnerabilidades. Actualmente, no existen workarounds que resuelvan la vulnerabilidad, por lo que el único remedio es actualizar a la versión parchada.
Versiones Afectadas
|
Versiones afectadas |
Versiones parcheadas |
|
Cisco ISE o ISE-PIC 3.3 |
3.3 Parche 6 ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz |
|
Cisco ISE o ISE-PIC 3.4 |
3.4 Parche 2 |
Recomendaciones
-
Si cuenta con Cisco ISE o ISE-PIC 3.3 instale el parche 6 (ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz)
-
Si cuenta con Cisco ISE o ISE-PIC 3.4 Instale el parche 2 (ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz)
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- The Hacker News. (2025, Junio 26). Critical RCE Flaws in Cisco ISE and ISE-PIC Allow Unauthenticated Attackers to Gain Root Access. Recuperado el 27 de junio de 2025, en: https://thehackernews.com/2025/06/critical-rce-flaws-in-cisco-ise-and-ise.html
- CISCO. (2025. Junio 25) Cisco Identity Services Engine Unauthenticated Remote Code Execution Vulnerabilities. Recuperado el 27 de Junio del 2025 en: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
- Toulas, B. (2025, Junio 26). Cisco warns of max severity RCE flaws in Identity Services Engine. BleepingComputer. Recuperado el 27 de junio de 2025, en: https://www.bleepingcomputer.com/news/security/cisco-warns-of-max-severity-rce-flaws-in-identity-services-engine/
