Día cero en Cisco ISE: Agujeros críticos otorgan a los hackers acceso root sin iniciar sesión

Vulnerabilidades críticas descubiertas recientemente en la infraestructura de Cisco ya están siendo activamente explotadas por atacantes para comprometer redes corporativas. La compañía confirmó oficialmente que su equipo de respuesta ante incidentes de seguridad (PSIRT) ha observado intentos de explotación de estas fallas en condiciones reales. Se trata de vulnerabilidades en los productos Cisco Identity Services Engine (ISE) y su módulo complementario Passive Identity Connector (ISE-PIC).

Cisco ISE cumple un papel clave en los sistemas de control de acceso: determina quién puede conectarse a la red corporativa y bajo qué condiciones. La alteración de esta plataforma otorga a los atacantes acceso ilimitado a los sistemas internos de una organización, permitiéndoles eludir los mecanismos de autenticación y auditoría, convirtiendo efectivamente el sistema de seguridad en una puerta abierta.

En su aviso oficial, la empresa enumeró tres vulnerabilidades críticas con la máxima puntuación en la escala CVSS — 10 sobre 10. Todas ellas permiten a un atacante remoto y no autenticado ejecutar comandos en el dispositivo vulnerable como usuario root, es decir, con los máximos privilegios del sistema:

• CVE-2025-20281 y CVE-2025-20337 están relacionadas con el procesamiento de solicitudes API. La validación insuficiente de los datos ingresados por el usuario permite al atacante crear una solicitud especialmente diseñada que puede ejecutar código arbitrario en el servidor ISE;
• CVE-2025-20282 afecta a la API interna. En este caso, no existe un filtrado adecuado de los archivos cargados, lo que permite al atacante subir un archivo malicioso y lograr su ejecución en un directorio protegido, también con privilegios de root.

Técnicamente, estas vulnerabilidades surgen por la falta de validación de datos de entrada (en los dos primeros casos) y por el control insuficiente sobre las rutas de carga de archivos (en el tercero). Los métodos de explotación varían desde el envío de una solicitud API especialmente formada hasta la carga de un archivo preparado en el servidor. En ambos escenarios, el atacante puede eludir los mecanismos de autenticación y tomar el control completo del dispositivo.

A pesar del hecho de que estas vulnerabilidades ya están siendo explotadas activamente, Cisco aún no ha revelado cuáles han sido utilizadas en los ataques, quién está detrás de ellos ni cuál es su alcance. Sin embargo, la aparición de exploits subraya la gravedad de la situación.

La empresa ha lanzado parches para corregir todas las vulnerabilidades y recomienda encarecidamente a sus clientes actualizar inmediatamente a las últimas versiones del software. Los sistemas que permanezcan sin actualizar están en riesgo de ser comprometidos remotamente sin necesidad de autenticación — lo cual es especialmente crítico para redes sometidas a una alta presión regulatoria o que forman parte de infraestructuras críticas.

Además de instalar las actualizaciones, los expertos aconsejan a los administradores de sistemas revisar cuidadosamente los registros de actividad en busca de señales de solicitudes API sospechosas o intentos de carga de archivos no autorizados, especialmente si los componentes ISE son accesibles desde el exterior.

La situación con Cisco ISE demuestra una vez más cuán vulnerables pueden ser incluso los componentes clave de una arquitectura de seguridad cuando no se aplican controles adecuados sobre las interfaces y la validación de datos del usuario. Dada la amplia adopción de estas soluciones en entornos corporativos, su compromiso puede resultar fatal para la seguridad de toda la red interna.