Under Attack?
Antecedentes:
Cisco ha solucionado una vulnerabilidad crítica, identificada como CVE-2025-20337 (con una puntuación CVSS de 10), en Identity Services Engine (ISE) y Cisco Identity Services Engine Passive Identity Connector (ISE-PIC). Un atacante no autenticado podría aprovechar esta vulnerabilidad para ejecutar código arbitrario en el sistema operativo subyacente con privilegios de root.
Resumen de la vulnerabilidad: Una vulnerabilidad en una API específica de Cisco ISE y Cisco ISE-PIC podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en el sistema operativo subyacente como usuario root. El atacante no necesita credenciales válidas para explotar esta vulnerabilidad. La vulnerabilidad se debe a una validación insuficiente de los datos proporcionados por el usuario. Un atacante podría explotar esta vulnerabilidad enviando una solicitud API especialmente diseñada. Un ataque exitoso podría permitir al atacante obtener privilegios de root en el dispositivo afectado.
Cisco PSIRT no tiene conocimiento de anuncios públicos o usos maliciosos de las vulnerabilidades descritas en este aviso.
Versiones afectadas:
CVE-2025-20281 y CVE-2025-20337: estas vulnerabilidades afectan las versiones 3.3 y 3.4 de Cisco ISE e ISE-PIC, independientemente de la configuración del dispositivo. Estas vulnerabilidades no afectan a Cisco ISE e ISE-PIC versión 3.2 o anteriores.
• Si Cisco ISE ejecuta la versión 3.4 Patch 2, no son necesarias acciones adicionales. • Si Cisco ISE ejecuta la versión 3.3 Patch 6, hay correcciones adicionales disponibles en la versión 3.3 Patch 7, por lo que es necesario actualizar. • Si Cisco ISE tiene instalada la revisión ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz o ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz, Cisco recomienda actualizar a la versión 3.3 Patch 7 o 3.4 Patch 2. Estas revisiones no solucionan la CVE-2025-20337 y han sido retiradas del CCO.
soluciones alternativas:
No existen soluciones alternativas que solucionen esta vulnerabilidad.
acciones recomendadas: Se recomienda a los clientes actualizar a una versión de software corregida, como se indica en la siguiente tabla. Cisco ha lanzado actualizaciones de software gratuitas que solucionan la vulnerabilidad descrita en este aviso. Los clientes con contratos de servicio que incluyen actualizaciones regulares de software deben obtener las correcciones de seguridad a través de sus canales habituales de actualización.
| Versión Cisco ISE o ISE-PIC | Primera versión corregida para CVE-2025-20281 | Primera versión corregida para CVE-2025-20282 | Primera versión corregida para CVE-2025-20337 |
|---|---|---|---|
| 3.2 y anteriores | No vulnerable | No vulnerable | No vulnerable |
| 3.3 | 3.3 Patch 7 | No vulnerable | 3.3 Patch 7 |
| 3.4 | 3.4 Patch 2 | 3.4 Patch 2 | 3.4 Patch 2 |
Referencia: Boletín de seguridad de Cisco – CVE-2025-20337
Si te preocupa alguna de las amenazas descritas en este boletín o necesitas ayuda para determinar qué medidas tomar para proteger tu organización de las amenazas más importantes, ponte en contacto con tu gerente de cuenta o contáctanos para descubrir cómo proteger tu organización.
.png?width=398&height=65&name=3-ISO-Logos-(1).png)
