Vulnerabilidad en Cisco bajo posible explotación
Cisco ha hecho público un parche para corregir una vulnerabilidad en los componentes “Cisco Identity Services Engine (ISE)” y “Cisco ISE Passive Identity Connector (ISE-PIC)”, los cuales son utilizados por administradores para administrar dispositivos finales (o “endpoint”), usuarios y acceso de dispositivos a recursos de red, con una arquitectura de confianza cero o “zero trust”. Además, anunciaron que ya existe una prueba de concepto (PoC) para explotar esta vulnerabilidad, la cual podría ser abusada por atacantes con privilegios de administrador.
CVE-2026-20029
Esta vulnerabilidad cuenta con una calificación CVSS3.1 de 4.9 y ocurre debido a un análisis erróneo de XML, formato procesado por la interfaz web de Cisco ISE y Cisco ISE-PIC. Un atacante podría explotar esta vulnerabilidad subiendo un archivo malicioso a la aplicación. Si un atacante lograse explotar esta vulnerabilidad, obtendría acceso a los archivos del sistema operativo, incluyendo información sensible e inaccesible incluso para administradores. Para explotar esta vulnerabilidad es necesario contar con credenciales de una cuenta con permisos de administrador.
El Equipo de Seguridad en Productos y Respuesta a Incidentes (PSIRT) de Cisco no ha encontrado evidencia de explotación activa de esta vulnerabilidad, sin embargo, avisaron que ‘ya existe una prueba de concepto publicada en internet para explotar esta vulnerabilidad’. De cualquier modo, se recomienda actualizar a versiones corregidas lo antes posible y no arriesgarse con soluciones o mitigaciones provisionales.
Versiones Afectadas
| Productos | Versiones afectadas | Versiones corregidas |
| Cisco Identity Services Engine Software | Anteriores a la 3.2 | Migrar a una versión corregida |
| 3.2 | 3.2 Patch 8 | |
| 3.3 | 3.3 Patch 8 | |
| 3.4 | 3.4 Patch 4 o 3.5 |
Recomendaciones
- Actualizar lo antes posible a versiones corregidas.
- Monitorear inicios de sesión inusuales o sospechosos.
- Rotar credenciales de inicio de sesión de cuentas con permisos de administrador.
- Habilitar la autenticación multifactorial.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
Referencias
- Gatlan, S. (2026, Enero 08). Cisco warns of Identity Service Engine flaw with exploit code. Recuperado el 09 de Enero de 2026, en: BleepingComputer. https://www.bleepingcomputer.com/news/security/cisco-warns-of-identity-service-engine-flaw-with-exploit-code/
- Okunytė, P. (2026, Enero 09). Public exploit just put Cisco’s identity systems on edge. Cybernews. Recuperado el 09 de Enero de 2026, en: https://cybernews.com/security/cisco-ise-poc-security-vulnerability/
