Cisco ha emitido un aviso de seguridad de alta urgencia detallando múltiples vulnerabilidades descubiertas en su Identity Services Engine (ISE) y en el ISE Passive Identity Connector (ISE-PIC). El reporte destaca una falla de Ejecución Remota de Código (RCE) de criticidad máxima (CVSS 9.9) junto a un fallo de Salto de Directorio (Path Traversal). Aunque actualmente el equipo PSIRT de Cisco no tiene evidencia de explotación activa (in-the-wild), la naturaleza de la falla principal abre la puerta a la toma de control absoluto del sistema operativo subyacente de la infraestructura de control de acceso.
Anatomía del Ataque
El boletín detalla dos vectores de ataque independientes, lo que significa que la explotación de uno no es un requisito previo para el otro:
- Ejecución Remota de Código y Escalada a Root (CVE-2026-20147: CVSS 9.9):
- Mecánica: Esta falla crítica surge de una validación insuficiente de la entrada suministrada por el usuario. Un atacante remoto y autenticado (que cuente con credenciales administrativas previas en el sistema) puede explotar esta debilidad enviando una solicitud HTTP específicamente manipulada hacia el dispositivo objetivo.
- Ejecución: Un ataque exitoso otorga acceso inicial a nivel de usuario en el sistema operativo base. A partir de allí, el atacante tiene la vía libre para ejecutar comandos arbitrarios y escalar privilegios hasta alcanzar el control total como root.
- Salto de Directorio / Path Traversal (CVE-2026-20148: CVSS 4.9):
- Mecánica: También originada por una validación de entrada inadecuada y requiriendo credenciales de administrador válidas.
- Ejecución: Mediante peticiones HTTP manipuladas, el atacante puede navegar fuera de los directorios restringidos de la aplicación web para acceder, listar y leer archivos confidenciales directamente desde la estructura de archivos del sistema operativo.
Impacto
Dado que Cisco ISE opera como el “cerebro” de las políticas de seguridad, visibilidad y control de acceso a la red de una organización, su vulneración tiene un impacto sistémico:
- Compromiso Total de Infraestructura: El acceso root permite al atacante instalar puertas traseras persistentes, extraer configuraciones de red, robar bases de datos de identidad de usuarios, o alterar las políticas para facilitar el acceso de dispositivos maliciosos a la red interna.
- Denegación de Servicio (DoS): En implementaciones de Cisco ISE de un solo nodo (single-node), la explotación del RCE puede provocar la caída inminente del servicio. Esto resulta en una condición de denegación de servicio donde los endpoints no autenticados quedan completamente bloqueados y sin acceso a la red hasta que los administradores restauran el sistema manualmente.
Recomendaciones y Mitigación
Cisco ha confirmado que no existen soluciones temporales ni mitigaciones alternativas (workarounds) para neutralizar estas vulnerabilidades. La única vía de remediación efectiva es el parcheo estructural:
- Actualización Mandatoria de Versiones: Los administradores de red y seguridad deben programar de inmediato una ventana de mantenimiento para aplicar los parches correspondientes a su nivel de implementación:
- Rama 3.1: Actualizar a 3.1 Patch 11.
- Rama 3.2: Actualizar a 3.2 Patch 10.
- Rama 3.3: Actualizar a 3.3 Patch 11.
- Rama 3.4: Actualizar a 3.4 Patch 6. (Aviso: ISE-PIC release 3.4 es la versión final con soporte).
- Rama 3.5: Actualizar a 3.5 Patch 3.
- Versiones anteriores a 3.1: Se requiere migrar forzosamente a una versión superior que ya incluya la corrección.
- Auditoría Estricta de Cuentas Administrativas: Ya que la explotación de ambos CVE requiere que el atacante cuente con acceso administrativo previo a Cisco ISE, es imperativo auditar el Directorio Activo y los registros de acceso local. Se deben rotar las credenciales de gestión de inmediato y asegurar que el acceso a la consola de administración de ISE esté restringido por segmentación de red y protegido incondicionalmente mediante Autenticación Multifactor (MFA).
