Cisco ha publicado
actualizaciones
para solucionar
dos fallas de seguridad críticas en Identity Services Engine (ISE) que
podrían permitir a atacantes remotos ejecutar comandos arbitrarios y elevar
privilegios en dispositivos susceptibles.
Las vulnerabilidades se enumeran a continuación:
-
CVE-2025-20124 (CVSS: 9,9): una vulnerabilidad de deserialización insegura
de Java en una API de Cisco ISE que podría permitir a un atacante remoto
autenticado ejecutar comandos arbitrarios como usuario root en un
dispositivo afectado. -
CVE-2025-20125 (CVSS: 9,1): una vulnerabilidad de omisión de autorización en
una API de Cisco ISE podría permitir a un atacante remoto autenticado con
credenciales de solo lectura válidas obtener información confidencial,
cambiar configuraciones de nodos y reiniciar el nodo.
Un atacante podría utilizar cualquiera de las fallas como arma enviando un
objeto Java serializado especialmente diseñado o una solicitud HTTP a un punto
final de API no especificado, lo que lleva a un escalamiento de privilegios y
ejecución de código.
Cisco afirmó que las dos vulnerabilidades no dependen una de la otra y que no
existen soluciones alternativas para mitigarlas. Se han abordado en las
siguientes versiones:
- Versión 3.0 del software Cisco ISE (migrar a una versión corregida)
- Versión 3.1 del software Cisco ISE (corregida en 3.1P10)
- Versión 3.2 del software Cisco ISE (corregida en 3.2P7)
- Versión 3.3 del software Cisco ISE (corregida en 3.3P4)
- Versión 3.4 del software Cisco ISE (no vulnerable)
A los investigadores de seguridad de Deloitte Dan Marin y Sebastian Radulea se
les atribuye el descubrimiento y la reparación de las vulnerabilidades.
Si bien el fabricante afirmó que no tiene conocimiento de ninguna explotación
maliciosa de las fallas, se recomienda a los usuarios que mantengan sus
sistemas actualizados para una protección óptima.
Fuente:
THN