Cisco ha publicado parches para abordar tres vulnerabilidades con el código de exploit público en su Motor de Servicios de Identidad (ISE) y las soluciones de la Plataforma de Colaboración de Clientes (CCP).
El más severo de los tres es una vulnerabilidad crítica de credencial estática rastreada como CVE-2025-20286, encontrada por Kentaro Kawane de GMO Cyberseguity en Cisco ISE. Este software de cumplimiento de políticas basado en la identidad proporciona control de acceso de punto final y administración de dispositivos de red en entornos empresariales.
La vulnerabilidad se debe a credenciales generadas de manera incorrecta al implementar Cisco ISE en plataformas en la nube, lo que resulta en credenciales compartidas en diferentes implementaciones. Los atacantes no autenticados pueden explotarlo extrayendo las credenciales de los usuarios de las implementaciones de Cisco ISE Cloud y utilizarlas para acceder a instalaciones en otros entornos en la nube.
Sin embargo, como explicó Cisco, los actores de amenaza pueden explotar este defecto con éxito solo si el nodo de administración primario se implementa en la nube. "Una vulnerabilidad en las implementaciones en la nube de Cisco Identity Services Engine (ISE) de Amazon Web Services (AWS), Microsoft Azure y Oracle Cloud Infrastructure (OCI) podría permitir que un atacante remoto no autenticado acceda a datos confidenciales, realice operaciones administrativas limitadas, modifique la configuración del sistema o interrumpa los servicios de los sistemas afectados", explicó la compañía.
Cisco es consciente de que el código de explotación de prueba de concepto está disponible para la vulnerabilidad que se describe en este aviso.
Cisco agregó que las siguientes implementaciones de ISE no son vulnerables a los ataques:
- Todas las implementaciones locales, donde se instalen artefactos desde el Centro de Descargas de Software de Cisco (ISO u OVA). Esto incluye dispositivos y máquinas virtuales.
- ISE en Azure VMware Solution (AVS)
- ISE en Google Cloud VMware Engine
- ISE en VMware Cloud en AWS
- Implementaciones híbridas de ISE con todos los perfiles de administrador de ISE (administración principal y secundaria) locales, con otros perfiles en la nube.
La empresa recomienda a los administradores que aún esperan una revisión o que no pueden aplicar de inmediato las revisiones publicadas hoy que ejecuten el comando reset-config de ISE en el nodo de la nube, para restablecer las contraseñas de los usuarios a un nuevo valor.
Sin embargo, los administradores también deben tener en cuenta que este comando restablecerá Cisco ISE a la configuración de fábrica y que la restauración de copias de seguridad también restaurará las credenciales originales.
Los otros dos fallos de seguridad con código de explotación de prueba de concepto parcheados son una carga de archivos arbitraria (CVE-2025-20130) en Cisco ISE y una divulgación de información (CVE-2025-20129) en la Plataforma de Colaboración con Clientes de Cisco (anteriormente Cisco SocialMiner).
En septiembre pasado, Cisco parcheó otra falla de ISE: una vulnerabilidad de inyección de comandos con código de explotación público que permite a los atacantes escalar privilegios a root en sistemas sin parchear.
Fuente: BC