Cisco ha publicado parches de seguridad para acometer una equivocación de seguridad crítica que afecta al motor de servicios de identidad (ISE) que, si se explota con éxito, podría permitir a los actores no autenticados sufrir a lengua acciones maliciosas en los sistemas susceptibles.
El defecto de seguridad, rastreado como CVE-2025-20286lleva un puntaje CVSS de 9.9 de 10.0. Se ha descrito como una vulnerabilidad de credencial estática.
«Una vulnerabilidad en Amazon Web Services (AWS), Microsoft Azure y Oracle Cloud Infrastructure (OCI) implementaciones en la nimbo de Cisco Identity Services Engine (ISE) podrían permitir un atacante remoto no autorenticado para obtener a datos confidenciales, ejecutar operaciones administrativas limitadas, modificar las configuraciones del sistema o la interrupción de los servicios adentro de los sistemas impactados», dijo la compañía en un asesoramiento en un asesoramiento.
El fabricante de equipos de redes, que acreditó a Kentaro Kawane de Ciberseguridad GMO por informar el defecto, señaló que es consciente de la existencia de una exploit de prueba de concepto (POC). No hay evidencia de que haya sido explotado maliciosamente en la naturaleza.
Cisco dijo que el problema proviene del hecho de que las credenciales se generan incorrectamente cuando Cisco ISE se está implementando en plataformas en la nimbo, lo que hace que diferentes implementaciones compartan las mismas credenciales siempre que la traducción de software y la plataforma en la nimbo sean las mismas.
Dicho de forma diferente, las credenciales estáticas son específicas para cada propagación y plataforma, pero no son válidas en todas las plataformas. Como destaca la compañía, todas las instancias de Cisco ISE Release 3.1 en AWS tendrán las mismas credenciales estáticas.
Sin secuestro, las credenciales que son válidas para el paso a una implementación de la traducción 3.1 no serían válidas para obtener a una implementación de la traducción 3.2 en la misma plataforma. Adicionalmente, la traducción 3.2 en AWS no tendría las mismas credenciales que la traducción 3.2 en Azure.
La explotación exitosa de la vulnerabilidad podría permitir a un atacante extraer las credenciales del legatario de la implementación de la nimbo de Cisco ISE y luego usarlo para obtener a Cisco ISE implementado en otros entornos en la nimbo a través de puertos no garantizados.
En última instancia, esto podría permitir el paso no calificado a datos confidenciales, ejecución de operaciones administrativas limitadas, cambios en configuraciones del sistema o interrupciones del servicio. Dicho esto, Cisco ISE solo se ve afectado en los casos en que el nodo de delegación primario se implementa en la nimbo. Los nodos de delegación primario que están en las instalaciones no se ven afectados.
Las siguientes versiones se ven afectadas –
- AWS – Cisco ISE 3.1, 3.2, 3.3 y 3.4
- Azure – Cisco ISE 3.2, 3.3 y 3.4
- OCI – Cisco ISE 3.2, 3.3 y 3.4
Si correctamente no hay soluciones para acometer CVE-2025-20286, Cisco recomienda que los usuarios restrinjan el tráfico a los administradores autorizados o ejecuten el comando «Aplicación RESET-config ISE» para restablecer las contraseñas de los usuarios a un nuevo valía. Sin secuestro, lleva a señalar que ejecutar el comando restablecerá Cisco ISE a la configuración de industria.
