Recientemente Cisco a publicado un boletín sobre 2 hallazgos críticos (CVE-2025-20281 y CVE-2025-20282), Estas son 2 vulnerabilidades de ejecución de código remota y afectan directamente a Cisco Indentity Services Engine (ISE) y Passive Identity Connector (ISE-PIC)
Es importante recalcar que ambas vulnerabilidades se encuentran categorizadas con la máxima criticidad, teniendo una puntuación de: CVSS 10.0.
No se tiene ningún caso que este explotando activamente cualquiera de las dos fallas según lo que comento Cisco, pero sigue siendo de vital importancia que los usuarios procedan con las actualizaciones.
CVE-2025-20281
Esta vulnerabilidad reside en una API especifica de Cisco ISE y Cisco ISE-PIC. Esto sucede por una validación insuficiente de la entrada proporcionada por el usuario.
Esto quiere decir que el atacante no necesita algún tipo de credencial válida para poder proceder con la vulnerabilidad.
¿Cómo funciona?
Sabemos que el atacante no necesita previas credenciales, entonces no tiene que forzar la puerta principal para poder hacer el ataque.
Esta fuera de tu red o en algún punto donde pueda comunicarse directamente con la interfaz de administración (API) de Cisco ISE.
Luego de esto el atacante tiene la tarea de construir y manipular una solicitud API maliciosa. Dentro del mensaje no solo se envía una petición común y corriente a la API, sino que inyecta código malicioso, esto sucede ya que la API no está haciendo el proceso de filtración de manera correcta, por lo que deja pasar la petición.
Cuando la solicitud es procesada el código malicioso también es ejecutado por el sistema, debido a que la API no hizo la limpieza de manera correcta la inyección maliciosa pasa como si fuese una instrucción legítima.
Uno de los aspectos más peligrosos de este ataque es que se ejecuta con privilegios de root o administrador en Windows, ya que este es el nivel de control más alto en un sistema Linux/Unix, siendo este la base de ISE.
Esto quiere decir que ahora el atacante tiene control total sobre el dispositivo Cisco ISE.
CVE-2025-20282
De igual forma esta vulnerabilidad afecta a Cisco ISE. El punto de enfoque es un tanto diferente mientras que la anterior vulnerabilidad se centraba en la API especifica, la CVE-2025-20282 está dirigida a la interfaz administrativa basada en la web de Cisco ISE.
El patrón es similar al de la otra falla, pero se tiene en un contexto diferente. El problema principal radica nuevamente en la validación insuficiente de la entrada proporcionada por el usuario.
Esto quiere decir que cuando el atacante envía información a una página web, el ISE no verifica o sanea adecuadamente la entrada que se le envía a través de su interfaz web administrativa. Y no logra validar si alguien coloco instrucciones maliciosas.
¿Cómo funciona?
Aquí empezamos con una diferencia crucial, el atacante necesita tener credenciales validas y acceso a la interfaz web administrativa de Cisco ISE.
Una vez que el atacante haya logrado iniciar sesión en Cisco ISE, este interactúa con la interfaz de manera específica. En lugar de solo colocar información normal en un campo donde únicamente va un nombre de usuario, el atacante inyecta código malicioso en la interfaz web que no puede validar de manera correcta.
Esto provoca que la inyección del atacante no se procese como datos sino como instrucciones ejecutables. De igual forma estas instrucciones se procesan como root.
Aquí nuevamente el atacante procede a tener control total del sistema.
Versiones afectadas
La primera vulnerabilidad a las versiones 3.4 y 3.3 de ISE e ISE-PIC, mientras que la segunda afecta solo a la versión 3.4.
Recomendaciones
- Para la serie 3.3: Actualice a la versión 3.3 Parche 6 (identificada como ise-apply-CSCwo99449_3.3.0.430_patch4).
- Para la serie 3.4: Actualice a la versión 3.4 Parche 2 (identificada como ise-apply-CSCwo99449_3.4.0.608_patch1) o una posterior.
Es importante destacar que no existen soluciones alternativas que puedan mitigar estas fallas. La única manera efectiva de proteger su sistema contra posibles ataques es aplicando estas actualizaciones de seguridad proporcionadas por Cisco. No posponga esta acción, ya que la seguridad de su red depende de ello.
