Cisco ha emitido una alerta por una vulnerabilidad crítica (CVE-2025-20337) en sus productos Identity Services Engine (ISE) e ISE Passive Identity Connector (ISE-PIC), que permite a atacantes remotos y no autenticados ejecutar código arbitrario con privilegios de root.
📌 Detalles Técnicos
-
Vector de Ataque: API con validación insuficiente de datos de usuario.
-
Método de Explotación: Envío de solicitudes de API manipuladas.
-
Impacto:
-
Ejecución remota de código (RCE) como superusuario.
-
Compromiso total del dispositivo afectado.
-
-
Versiones Vulnerables:
-
Cisco ISE/ISE-PIC 3.3 (solucionado en Patch 7).
-
Cisco ISE/ISE-PIC 3.4 (solucionado en Patch 2).
-
No afecta versiones 3.2 o anteriores.
-
🌍 Panorama de Riesgo
-
Exposición Global: Más de 1,200 dispositivos identificados como vulnerables (según FOFA).
-
Descubridor: Kentaro Kawane (GMO Cybersecurity), reconocido por hallazgos previos en Cisco ISE y Fortinet FortiWeb.
-
Contexto:
-
Vulnerabilidad similar a CVE-2025-20281 (parcheada en junio/2025).
-
Sin evidencia de explotación activa (hasta julio/2025).
-
🛡️ Recomendaciones de Mitigación
-
Actualización Inmediata:
-
Versión 3.3 → Aplicar Patch 7.
-
Versión 3.4 → Aplicar Patch 2.
-
-
Monitorización:
-
Buscar actividades sospechosas en APIs de ISE/ISE-PIC.
-
-
Contingencia:
-
Restringir acceso a las APIs afectadas mediante firewalls o NAC.
-
⚠️ Amenazas Relacionadas
-
Fortinet FortiWeb (CVE-2025-25257):
-
Exploits públicos activos desde el 11 de julio/2025.
-
77 dispositivos comprometidos (webshells instaladas).
-
Distribución geográfica: Norteamérica (44), Asia (14), Europa (13).
-
