¿Contraseñas? Olvídalo. Con los fallos de ISE, la red se cae en un minuto — y ni te enteras

La corporación Cisco ha publicado actualizaciones para corregir dos fallos gravísimos en sus productos de seguridad de red. Ambos problemas afectan a Cisco Identity Services Engine (ISE) y al componente relacionado ISE Passive Identity Connector (ISE-PIC). Con su explotación, los atacantes pueden obtener el control total de los dispositivos vulnerables ejecutando código arbitrario con privilegios de superusuario.

Las vulnerabilidades han sido registradas bajo los identificadores CVE-2025-20281 y CVE-2025-20282. Cisco las ha calificado con la puntuación máxima de 10 en la escala CVSS. Sin embargo, la Base Nacional de Datos de Vulnerabilidades (NVD) ha rebajado la puntuación de la primera a 9.8, lo que no resta gravedad al problema.

El paquete Cisco ISE se utiliza para controlar el acceso a las redes corporativas. Puede instalarse tanto en servidores dedicados como en máquinas virtuales o entornos en la nube. El componente ISE-PIC se encarga de recopilar información sobre las credenciales de los usuarios y transmitirla a otros sistemas de seguridad, lo que lo convierte en un elemento clave de la infraestructura de identificación y autorización.

Cisco subraya expresamente que estos dos fallos no están relacionados entre sí y pueden explotarse de forma independiente. Corregir una vulnerabilidad no elimina la posibilidad de explotar la otra.

La vulnerabilidad CVE-2025-20281 se ha encontrado en ISE e ISE-PIC versiones 3.3 y 3.4. No está presente en versiones anteriores. Según los especialistas, el problema radica en que el sistema no valida adecuadamente los datos que recibe a través de la API. Como resultado, un atacante puede enviar una solicitud especialmente diseñada —sin necesidad de credenciales ni acceso previo— y obtener privilegios root, es decir, el control total del dispositivo.

La segunda vulnerabilidad, CVE-2025-20282, también afecta a la API interna, pero su mecanismo de explotación es diferente. En este caso, el fallo consiste en la falta de verificación de los archivos cargados. Esto permite al atacante subir malware al dispositivo y colocarlo en directorios del sistema protegidos. A partir de ahí, puede ejecutar código arbitrario o, nuevamente, obtener acceso root. Sin embargo, este problema solo se ha detectado en la versión 3.4. Las versiones anteriores, incluida la 3.3, no están en riesgo.

Hasta el momento no se han detectado ataques reales que exploten estas vulnerabilidades. No obstante, Cisco ha preferido no divulgar detalles técnicos sobre su funcionamiento para dar tiempo a los administradores a aplicar los parches y evitar una ola de ataques.

Para solucionar la CVE-2025-20281, se recomienda actualizar al menos a la versión 3.3 con parche 6 o a la versión 3.4 con parche 2. La segunda vulnerabilidad requiere obligatoriamente actualizar a la versión 3.4 con parche 2, ya que es la única forma de cerrar esa brecha.

Una situación similar con fallos críticos en la API de los componentes ISE e ISE-PIC ya se produjo a principios de este año. En aquella ocasión, las vulnerabilidades —también con la máxima puntuación en la escala de gravedad— permitían a los atacantes comprometer el sistema. Sin embargo, para explotarlas se necesitaban credenciales con permisos de administrador (aunque fueran limitados, solo de lectura), lo que complicaba considerablemente el trabajo de los hackers. En el caso actual, basta con una solicitud dirigida o la carga de un archivo, sin ningún tipo de autenticación.