Cisco Systems ha emitido una advertencia de asesoramiento de seguridad crítico de múltiples vulnerabilidades de ejecución de código remoto en su motor de servicios de identidad (ISE) que están siendo explotados activamente por los atacantes en la naturaleza.
Las vulnerabilidades, que llevan el puntaje máximo de gravedad de CVSS de 10.0, permiten a los atacantes remotos no autenticados ejecutar comandos arbitrarios con privilegios raíz en los sistemas afectados.
El gigante de la red reveló tres vulnerabilidades separadas rastreadas como CVE-2025-20281, CVE-2025-20282 e CVE-2025-20337, todos los cuales afectan los despliegues de conector de identidad pasiva de Cisco e ISE.
El Equipo de Respuesta a Incidentes de Seguridad de Productos de la Compañía (PSIT) confirmó en julio de 2025 que algunas de estas vulnerabilidades están siendo explotadas en ataques activos, lo que provoca llamadas urgentes para que las organizaciones apliquen parches de inmediato.
Cisco ISE RCE Vulnerabilidad explotada en Wild
Las vulnerabilidades más severas, CVE-2025-20281 y CVE-2025-203337, se derivan de la validación insuficiente de la entrada proporcionada por el usuario en API específicas dentro de las versiones ISE 3.3 y 3.4.
Estos defectos permiten a los atacantes enviar solicitudes de API elaboradas sin ninguna autenticación, potencialmente obteniendo acceso a la raíz a los sistemas específicos. La tercera vulnerabilidad, CVE-2025-20282, afecta solo a ISE versión 3.4 e involucra una API interna que carece de verificaciones de validación de archivos adecuadas.
“Un atacante podría explotar estas vulnerabilidades presentando una solicitud de API diseñada”, explicó Cisco en su aviso. “Una exploit exitosa podría permitir al atacante obtener privilegios de raíz en un dispositivo afectado”.
El defecto CVE-2025-20282 permite a los atacantes cargar archivos arbitrarios a directorios privilegiados y posteriormente ejecutarlos con permisos raíz.
Las tres vulnerabilidades se clasifican bajo categorías de enumeración de debilidad común CWE-269 (gestión de privilegios inadecuados) y CWE-74 (neutralización inadecuada de elementos especiales en la producción utilizados por un componente aguas abajo), destacando los problemas de diseño de seguridad fundamental.
Cisco enfatizó que no existen soluciones para estas vulnerabilidades, lo que hace que los parches inmediatos la única estrategia de defensa viable. La compañía ha lanzado lanzamientos fijos mejorados después de parches iniciales que se encontró que estaban incompletos.
Las organizaciones que ejecutan ISE Release 3.4 Patch 2 no requieren más acciones, ya que esta versión contiene todas las correcciones necesarias. Sin embargo, los sistemas que ejecutan ISE Release 3.3 Patch 6 deben actualizarse para la versión 3.3 Patch 7 para una protección completa.
Cisco ISE o ISE-PIC ReleaseFirst Se corrigió la versión para la versión CVE-2025-20281FIRST fijada para CVE-2025-20282 First solucionada la versión para CVE-2025-203373.2 y antes, no sea el parche más temprano VulnerableNot Vulnerable33.33.3 Patch 7not Vulnerable3.3 Patch 73.43.4 Patch 23.4 Patch VulnerableT
Cisco advirtió específicamente que los parches calientes anteriores (ISE-APPLY-CSCWO99449_3.3.0.430_patch4spa.tar.gz e ISE-APPLY-CSCWO99449_3.4.0.608_patch1-pa.tar.gz) no lograron abordar CVE-2025-20337 y se han retirado de la distribución.
Explotación activa
La confirmación de la explotación en el flujo eleva significativamente la urgencia de este problema de seguridad.
Cisco ISE sirve como una plataforma crítica de control de acceso y control de políticas utilizada por las organizaciones de todo el mundo para administrar la autenticación y la autorización del dispositivo. Un compromiso exitoso podría proporcionar a los atacantes una amplia visibilidad de la red y capacidades de control.
Los investigadores de seguridad Bobby Gould de la iniciativa de tendencia de Micro Zero Day y Kentaro Kawane de GMO CyberseCurity por IERAE se les atribuyó descubrir e informar estas vulnerabilidades a través de procesos de divulgación responsables.
Cisco continúa monitoreando los intentos de explotación e insta fuertemente a todos los clientes afectados a priorizar estas actualizaciones.
Las organizaciones deben verificar sus versiones de ISE de inmediato y planificar ventanas de mantenimiento de emergencia para aplicar los parches necesarios, dada la naturaleza crítica de estas vulnerabilidades y la actividad de explotación confirmada.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
