Cisco ha emitido un importante Cisco Security Advisory que alerta sobre múltiples vulnerabilidades en su plataforma de gestión de políticas de seguridad, Cisco Identity Services Engine (ISE). Estas vulnerabilidades podrían ser explotadas por actores malintencionados para comprometer la seguridad de la infraestructura de red. A continuación, desglosamos las vulnerabilidades y ofrecemos recomendaciones de mitigación.
Análisis Técnico de las Vulnerabilidades
El advisory menciona varias fallas de seguridad en Cisco ISE, que abarcan desde ejecución remota de código hasta acceso no autorizado a datos sensibles. A continuación se detallan los vectores de ataque más críticos:
- Ejecución remota de código: Algunas de las vulnerabilidades permiten a los atacantes ejecutar código arbitrario en dispositivos vulnerables sin necesidad de autenticación, lo que podría darles control total sobre el sistema afectado.
- Elevación de privilegios: Existen errores en la implementación de permisos de usuario que podrían permitir a un atacante escalar privilegios dentro del sistema, accediendo a funciones críticas y datos sensibles.
- Divulgación de información sensible: En algunos casos, las configuraciones de seguridad incorrectas o vulnerables pueden resultar en la exposición de datos que deberían estar protegidos, como credenciales de usuarios o configuraciones de red sensibles.
- CVE-2025-20124 (puntuación CVSS: 9,9): una vulnerabilidad de deserialización de Java insegura en una API de Cisco ISE que podría permitir a un atacante remoto autenticado ejecutar comandos arbitrarios como usuario root en un dispositivo afectado.
- CVE-2025-20125 (puntuación CVSS: 9,1): una vulnerabilidad de omisión de autorización en una API de Cisco ISE podría permitir a un atacante remoto autenticado con credenciales de solo lectura válidas obtener información confidencial, cambiar las configuraciones del nodo y reiniciar el nodo
Impacto Potencial
Si se explotan estas vulnerabilidades, podrían ocurrir escenarios de acceso no autorizado a la red corporativa, lo que afectaría la integridad de los sistemas de autenticación y autorización. Este tipo de explotación podría tener consecuencias graves, como interrupciones en los servicios de red y la fuga de información confidencial.
Recomendaciones de Mitigación
Cisco ha publicado parches de seguridad para abordar estos problemas en las versiones afectadas. Las organizaciones deben seguir estas mejores prácticas:
- Actualizar a la última versión de Cisco ISE: Las versiones vulnerables deben ser parcheadas inmediatamente para prevenir explotaciones.
- Revisar las configuraciones de seguridad: Asegurarse de que los mecanismos de autenticación y autorización estén correctamente implementados y configurados para minimizar los riesgos de acceso no autorizado.
- Monitorear eventos de seguridad: Implementar una monitorización continua para detectar actividades sospechosas relacionadas con la explotación de vulnerabilidades.
- Cisco ISE versión 3.0 del software (migrar a una versión fija)
- Versión 3.1 del software Cisco ISE (corregido en 3.1P10)
- Versión 3.2 del software Cisco ISE (corregido en 3.2P7)
- Versión 3.3 del software Cisco ISE (corregido en 3.3P4)
- Software Cisco ISE versión 3.4 (no vulnerable)
fuente: Cisco Identity Services Engine Insecure Java Deserialization and Authorization Bypass Vulnerabilities Cisco parchea las vulnerabilidades críticas de ISE que habilitan Root CmdExec y PrivEsc
