Cisco ha publicado hotfixes para su Identity Services Engine (ISE) tras revelarse CVE-2025-20286, una vulnerabilidad de credenciales estáticas que afecta a implementaciones en la nube de AWS, Azure y Oracle Cloud Infrastructure y que ya cuenta con código de prueba de concepto.
Cuando se despliega un nodo de Administración Primaria de ISE en la nube, el asistente de instalación genera las mismas credenciales para todas las instancias que compartan versión y plataforma. Un atacante sin autenticar podría:
- Extraer las credenciales de una instancia comprometida.
- Usarlas para acceder a otras instalaciones ISE en diferentes nubes o clientes.
- Ver datos sensibles, alterar configuraciones o interrumpir el servicio.
Versiones afectadas
| Plataforma | Versiones vulnerables | Parche (hotfix) |
|---|---|---|
| AWS | 3.1 – 3.4 | 3.1-2-HF, 3.2-4-HF, 3.3-3-HF, 3.4-1-HF |
| Azure | 3.2 – 3.4 | idem |
| OCI | 3.2 – 3.4 | idem |
Las versiones 3.0 y anteriores no se ven afectadas. ISE on-prem y despliegues híbridos con el nodo de administración local tampoco son vulnerables.
Impacto potencial
- Acceso no autorizado con privilegios administrativos limitados.
- Exposición de políticas de acceso y perfiles de dispositivos.
- Cambio de configuraciones de autenticación RADIUS/TACACS+ y corte de servicio.
Mitigaciones y recomendaciones
- Aplicar los hotfixes específicos para cada versión cuanto antes.
- Si no es posible actualizar:
- Ejecutar
application reset-config iseen el nodo afectado (reinicia a valores de fábrica). - Restringir el tráfico entrante únicamente a administradores autorizados mediante ACL en el security group de la nube.
- Ejecutar
- Auditar los registros de inicio de sesión y cambios de configuración tras la actualización.
- Rotar todas las contraseñas de cuentas internas y claves API asociadas a ISE.
Más información
- SecurityWeek – Cisco Patches Critical ISE Vulnerability With Public PoC https://www.securityweek.com/cisco-patches-critical-ise-vulnerability-with-public-poc/
- BleepingComputer – Cisco warns of ISE and CCP flaws with public exploit code
- The Hacker News – Critical Cisco ISE Auth Bypass Flaw Impacts Cloud Deployments
La entrada Cisco corrige vulnerabilidad crítica en ISE con PoC pública se publicó primero en Una Al Día.