Ciberseguridad 360 | Vulnerabilidad crítica en Cisco ISE permite RCE

Cisco ha revelado una nueva vulnerabilidad de seguridad de m�xima gravedad que afecta a Identity Services Engine (ISE) y Cisco ISE Passive Identity Connector (ISE-PIC) y que podr�a permitir a un atacante ejecutar c�digo arbitrario en el sistema operativo subyacente con privilegios elevados.

Rastreado como CVE-2025-20337, la deficiencia lleva una puntuaci�n CVSS de 10,0 y es similar a CVE-2025-20281, que fue parcheado por el equipo de red principal a finales del mes pasado.

"M�ltiples vulnerabilidades en una API espec�fica de Cisco ISE y Cisco ISE-PIC podr�an permitir a un atacante remoto no autenticado ejecutar c�digo arbitrario en el sistema operativo subyacente como root. El atacante no requiere ninguna credencial v�lida para explotar estas vulnerabilidades", dijo la compa��a en un aviso actualizado.

"Estas vulnerabilidades se deben a una validaci�n insuficiente de la informaci�n proporcionada por el usuario. Un atacante podr�a aprovecharse de estas vulnerabilidades enviando una solicitud de API manipulada. Una explotaci�n exitosa podr�a permitir al atacante obtener privilegios de root en un dispositivo afectado."

Se atribuye a Kentaro Kawane, de GMO Cybersecurity, el descubrimiento y la notificaci�n del fallo. Kawane fue reconocido anteriormente por otros dos fallos cr�ticos en Cisco ISE (CVE-2025-20286 y CVE-2025-20282) y otro fallo cr�tico en Fortinet FortiWeb (CVE-2025-25257).

CVE-2025-20337 afecta a las versiones 3.3 y 3.4 de ISE e ISE-PIC, independientemente de la configuraci�n del dispositivo. No afecta a las versiones 3.2 o anteriores de ISE e ISE-PIC. El problema se ha parcheado en las siguientes versiones:

Cisco ISE o ISE-PIC Release 3.3 (Corregido en 3.3 Parche 7)

Cisco ISE o ISE-PIC Release 3.4 (Corregido en 3.4 Parche 2)

No hay pruebas de que la vulnerabilidad haya sido explotada en un contexto malicioso. Dicho esto, siempre es una buena pr�ctica asegurarse de que los sistemas se mantienen actualizados para evitar posibles amenazas.

La revelaci�n se produce cuando The Shadowserver Foundation inform� que los actores de amenazas probablemente est�n explotando exploits p�blicamente liberados asociados con CVE-2025-25257 para lanzar web shells en instancias Fortinet FortiWeb susceptibles desde el 11 de julio de 2025.

A fecha de 15 de julio, se calcula que hay 77 casos infectados, frente a los 85 del d�a anterior. La mayor�a de los ataques se concentran en Norteam�rica (44), Asia (14) y Europa (13).

Los datos de la plataforma de gesti�n de superficie de ataque Censys muestran que hay 20.098 dispositivos Fortinet FortiWeb en l�nea, excluyendo los honeypots, aunque actualmente no se sabe cu�ntos de ellos son vulnerables a CVE-2025-25257.

"Este fallo permite a atacantes no autenticados ejecutar comandos SQL arbitrarios a trav�s de peticiones HTTP falsificadas, lo que lleva a la ejecuci�n remota de c�digo (RCE)", dijo Censys.

Fuente: thehackernews