El lunes, Cisco actualizó su aviso para un conjunto de fallas de seguridad recientemente reveladas para el motor de servicios de identidad (ISE) y el ISE Passive Identity Connector (ISE-PIC) para reconocer la explotación activa.
«En julio de 2025, Cisco PSIRT (equipo de respuesta a incidentes de seguridad de productos) reconoció los intentos de explotar algunas de estas vulnerabilidades en la naturaleza», dijo la compañía con precaución.
Los proveedores de equipos de red no revelaron qué vulnerabilidades se armaron a la escala de sus ataques del mundo real, identidades o actividad de los actores de amenaza.
Cisco ISE desempeña un papel central en el control de acceso a la red, administrando qué usuarios y dispositivos están permitidos a la red corporativa y en qué condiciones. Esta capa de compromiso permite a los atacantes dar acceso ilimitado a los sistemas internos, evitar controles de autenticación y reducir mecanismos.
Todas las vulnerabilidades descritas en la alerta son todos errores de velocidad crítica (puntaje CVSS: 10.0).
CVE-2025-20281 y CVE-2025-20337-Vulnerabilidades múltiples en ciertas API permiten a los atacantes remotos no certificados ejecutar el sistema operativo subyacente como raíz CVE-2025-20282. Como raíz en el sistema operativo subyacente
Los dos primeros fallas son el resultado de una validación de entrada insuficiente respaldada por el usuario, pero el último se debe a la falta de verificaciones de validación de archivos que evitan que los archivos se carguen en los directorios privilegiados del sistema afectado se coloquen.
Como resultado, un atacante puede aprovechar estos inconvenientes enviando solicitudes API creadas (para CVE-2025-20281 y CVE-2025-20337) o cargando los archivos creados a los dispositivos afectados.
A la luz de la explotación agresiva, es esencial que los clientes se actualicen a una versión de software fija lo antes posible para solucionar estas vulnerabilidades. Estos defectos pueden explotarse de forma remota sin autenticación, lo que resulta en un alto riesgo de ejecución previa de código remoto de sistemas no ganados. Esta es la mayor preocupación para los defensores que administran infraestructura crítica o entornos impulsados por el cumplimiento.
Los equipos de seguridad también deben verificar los registros del sistema para obtener una actividad de API sospechosa o cargar archivos malformados, especialmente en implementaciones expuestas externamente.
Source link
