Las fallas, identificadas como CVE-2025-20281, CVE-2025-20282 y CVE-2025-20337, impactan tanto a Cisco ISE como a ISE Passive Identity Connector (ISE-PIC). En julio de 2025, el Equipo de Respuesta a Incidentes de Seguridad de Productos (PSIRT) de Cisco confirmó la explotación activa de algunas de estas vulnerabilidades, lo que subraya la necesidad urgente de aplicar los parches correspondientes.
Detalles Técnicos de las Vulnerabilidades
Las vulnerabilidades más críticas, CVE-2025-20281 y CVE-2025-20337, se originan por una validación de entrada insuficiente en APIs específicas dentro de las versiones 3.3 y 3.4 de ISE. Esto permite a los atacantes enviar solicitudes API maliciosas sin autenticación, obteniendo potencialmente acceso de root a los sistemas.
La tercera vulnerabilidad, CVE-2025-20282, afecta únicamente a la versión 3.4 de ISE y reside en una API interna que carece de verificaciones adecuadas de validación de archivos. Esta falla permite a los atacantes cargar archivos arbitrarios en directorios privilegiados y ejecutarlos con permisos de root.
Cisco ha explicado que un exploit exitoso podría otorgar a los atacantes privilegios de root en los dispositivos afectados. Todas las vulnerabilidades se clasifican bajo las categorías de enumeración de debilidades comunes CWE-269 (Gestión inadecuada de privilegios) y CWE-74 (Neutralización inadecuada de elementos especiales en la salida utilizados por un componente posterior), lo que indica problemas fundamentales en el diseño de seguridad.
Acciones Recomendadas y Parches
Cisco ha enfatizado que no existen soluciones alternativas para estas vulnerabilidades, por lo que la aplicación inmediata de parches es la única medida de defensa efectiva. La compañía ha lanzado versiones corregidas mejoradas, ya que los parches iniciales resultaron ser incompletos.
Las organizaciones que actualmente utilizan ISE versión 3.4 Patch 2 no requieren ninguna acción adicional, ya que esta versión incluye todas las correcciones necesarias. Sin embargo, los sistemas que ejecutan ISE versión 3.3 Patch 6 deben actualizarse a la versión 3.3 Patch 7 para garantizar una protección completa.
Es importante destacar que Cisco ha retirado de la distribución los parches anteriores (ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz e ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz) debido a que no abordaban completamente la vulnerabilidad CVE-2025-20337.
Impacto y Urgencia
La confirmación de la explotación activa en el mundo real aumenta significativamente la urgencia de esta situación. Cisco ISE es una plataforma fundamental para el control de acceso a la red y la aplicación de políticas en organizaciones globales. Un compromiso exitoso podría otorgar a los atacantes un control extenso y visibilidad sobre la red.
Se atribuye el descubrimiento de estas vulnerabilidades a los investigadores de seguridad Bobby Gould de Trend Micro Zero Day Initiative y Kentaro Kawane de GMO Cybersecurity de Ierae.
Cisco continúa monitoreando los intentos de explotación y urge encarecidamente a todos los clientes afectados a priorizar estas actualizaciones. Se recomienda a las organizaciones verificar sus versiones de ISE de inmediato y programar ventanas de mantenimiento de emergencia para aplicar los parches necesarios, dada la criticidad de estas vulnerabilidades y la actividad de explotación confirmada.
