Vulnerabilidad crítica en CISCO ISE permite a atacantes no autenticados ejecutar código como root

Cisco ha revelado una nueva vulnerabilidad de seguridad de máxima gravedad que afecta a Identity Services Engine (ISE) y Cisco ISE Passive Identity Connector (ISE-PIC). Esta vulnerabilidad podría permitir a un atacante ejecutar código arbitrario en el sistema operativo subyacente con privilegios elevados.

Identificada como CVE-2025-20337 (CVSS 10.0) y es similar a la CVE-2025-20281, corregida por el fabricante de equipos de red a finales del mes pasado.

«Varias vulnerabilidades en una API específica de Cisco ISE y Cisco ISE-PIC podrían permitir que un atacante remoto no autenticado ejecute código arbitrario en el sistema operativo subyacente como root. El atacante no necesita credenciales válidas para explotar estas vulnerabilidades», declaró la compañía en un aviso.

Estas vulnerabilidades se deben a una validación insuficiente de la información proporcionada por el usuario. Un atacante podría explotar estas vulnerabilidades enviando una solicitud de API manipulada. Una explotación exitosa podría permitirle obtener privilegios de root en un dispositivo afectado. Según FOFA, habría más de 1.200 equipos vulnerables.

Kentaro Kawane, de GMO Cybersecurity, es reconocido por descubrir y reportar la falla. Anteriormente, Kawane fue reconocido por otras dos fallas críticas de Cisco ISE (CVE-2025-20286 y CVE-2025-20282) y por otro error crítico en Fortinet FortiWeb (CVE-2025-25257).

CVE-2025-20337 afecta a las versiones 3.3 y 3.4 de ISE e ISE-PIC, independientemente de la configuración del dispositivo. No afecta a las versiones 3.2 o anteriores de ISE e ISE-PIC. El problema se ha corregido en las siguientes versiones:

Cisco ISE o ISE-PIC versión 3.3 (corregido en la versión 3.3, parche 7)
Cisco ISE o ISE-PIC versión 3.4 (corregido en la versión 3.4, parche 2)

No hay evidencia de que la vulnerabilidad se haya explotado en un contexto malicioso. Dicho esto, siempre es recomendable mantener los sistemas actualizados para evitar posibles amenazas.

Esta revelación se produce después de que The Shadowserver Foundation informara que, desde el 11 de julio de 2025, es probable que actores de amenazas estén explotando exploits públicos asociados con CVE-2025-25257 para instalar webshells en instancias susceptibles de Fortinet FortiWeb. Al 15 de julio, se estimaba que había 77 instancias infectadas, frente a las 85 del día anterior. La mayoría de las vulnerabilidades se concentran en Norteamérica (44), Asia (14) y Europa (13).

Los datos de Censys, la plataforma de gestión de la superficie de ataque, muestran que hay 20.098 dispositivos Fortinet FortiWeb en línea, sin contar los honeypots, aunque actualmente se desconoce cuántos de ellos son vulnerables a CVE-2025-25257. «Esta falla permite a atacantes no autenticados ejecutar comandos SQL arbitrarios mediante solicitudes HTTP manipuladas, lo que provoca la ejecución remota de código (RCE)», declaró Censys.

Fuente y redacción: segu-info.com.ar

Primera condena por robo de criptomonedas (Argentina)

Exfiltración de datos a través de PowerShell

Microsoft corrigen 51 vulnerabilidades en Junio