Cisco ha revelado una nueva vulnerabilidad de seguridad de máxima gravedad que
afecta a Identity Services Engine (ISE) y Cisco ISE Passive Identity Connector
(ISE-PIC). Esta vulnerabilidad
podría permitir a un atacante ejecutar código arbitrario en el sistema
operativo subyacente con privilegios elevados.
Identificada como CVE-2025-20337 (CVSS 10.0) y es similar a la
CVE-2025-20281, corregida por el fabricante de equipos de red a finales del mes pasado.
«Varias vulnerabilidades en una API específica de Cisco ISE y Cisco ISE-PIC
podrían permitir que un atacante remoto no autenticado ejecute código
arbitrario en el sistema operativo subyacente como root. El atacante no
necesita credenciales válidas para explotar estas vulnerabilidades»,
declaró la compañía en un aviso.
Estas vulnerabilidades se deben a una validación insuficiente de la
información proporcionada por el usuario. Un atacante podría explotar estas
vulnerabilidades enviando una solicitud de API manipulada. Una explotación
exitosa podría permitirle obtener privilegios de root en un dispositivo
afectado. Según FOFA, habría más de 1.200 equipos vulnerables.
Kentaro Kawane, de GMO Cybersecurity, es reconocido por descubrir y reportar
la falla. Anteriormente,
Kawane fue reconocido
por otras dos fallas críticas de Cisco ISE (CVE-2025-20286 y CVE-2025-20282) y
por otro
error crítico en Fortinet FortiWeb
(CVE-2025-25257).
CVE-2025-20337 afecta a las versiones 3.3 y 3.4 de ISE e ISE-PIC,
independientemente de la configuración del dispositivo. No afecta a las
versiones 3.2 o anteriores de ISE e ISE-PIC. El problema se ha corregido en
las siguientes versiones:
- Cisco ISE o ISE-PIC versión 3.3 (corregido en la versión 3.3, parche 7)
- Cisco ISE o ISE-PIC versión 3.4 (corregido en la versión 3.4, parche 2)
No hay evidencia de que la vulnerabilidad se haya explotado en un contexto
malicioso. Dicho esto, siempre es recomendable mantener los sistemas
actualizados para evitar posibles amenazas.
Esta revelación se produce después de que
The Shadowserver Foundation informara
que, desde el 11 de julio de 2025, es probable que actores de amenazas estén
explotando exploits públicos asociados con CVE-2025-25257 para instalar
webshells
en instancias susceptibles de Fortinet FortiWeb. Al 15 de julio, se
estimaba que había 77 instancias infectadas, frente a las 85 del día anterior. La mayoría de las vulnerabilidades se
concentran en Norteamérica (44), Asia (14) y Europa (13).
Los datos de Censys, la plataforma de gestión de la superficie de ataque,
muestran que hay 20.098 dispositivos Fortinet FortiWeb en línea, sin contar
los honeypots, aunque actualmente se desconoce cuántos de ellos son
vulnerables a CVE-2025-25257. «Esta falla permite a atacantes no autenticados
ejecutar comandos SQL arbitrarios mediante solicitudes HTTP manipuladas, lo
que provoca la ejecución remota de código (RCE)»,
declaró Censys.
Fuente:
THN