Vulnerabilidades CVE-2025-20281 y CVE-2025-20282: Fallos críticos de RCE en Cisco ISE e ISE-PIC permiten acceso root
A medida que el calor del verano se intensifica, también lo hace la ola de vulnerabilidades críticas que sacude el panorama de amenazas cibernéticas. Poco después de la divulgación de la vulnerabilidad CVE-2025-49144 en Notepad++, han salido a la luz múltiples fallos críticos en Cisco Identity Services Engine (ISE) y en ISE Passive Identity Connector (ISE-PIC). Las nuevas vulnerabilidades identificadas como CVE-2025-20281 y CVE-2025-20282 permiten a atacantes no autenticados obtener acceso root a los sistemas objetivo, aumentando el nivel de riesgo en las redes empresariales.
La explotación de vulnerabilidades sigue siendo uno de los vectores de ataque más peligrosos y persistentes en el entorno actual, especialmente cuando se trata de fallos en productos ampliamente utilizados por grandes empresas en sectores clave, incluyendo organismos públicos e infraestructuras críticas. Los actores de amenazas priorizan cada vez más explotar brechas de seguridad en plataformas populares para obtener acceso inicial y establecer control sobre sistemas críticos.
Según el reciente Informe de Investigaciones de Brechas de Datos (DBIR) 2025 de Verizon, el uso de vulnerabilidades como método de acceso inicial aumentó un 34%, representando ahora el 20% de todas las brechas. Complementando este hallazgo, los datos de Mandiant, propiedad de Google, muestran que por quinto año consecutivo, la explotación de vulnerabilidades fue el vector de infección inicial más común durante las intervenciones de respuesta a incidentes. En los casos donde se identificó el punto de entrada, el 33% de las intrusiones comenzaron con la explotación de una vulnerabilidad de software. Estas tendencias subrayan la urgencia de aplicar parches a tiempo, mantener una gestión continua de vulnerabilidades y adoptar estrategias proactivas de detección, especialmente en sistemas de alto valor dentro de la infraestructura institucional.
Los ataques de RCE que surgen de vulnerabilidades sin parchear incrementan significativamente el nivel de amenaza para los equipos de ciberseguridad. La aparición de vulnerabilidades críticas de RCE (CVE-2025-20281 y CVE-2025-20282) que afectan a productos de Cisco podría permitir el control remoto total y la toma de control de los sistemas afectados sin necesidad de autenticación ni intervención del usuario, lo que representa un riesgo severo para organizaciones a nivel global.
Regístrese en la Plataforma de SOC Prime para acceder al feed global de amenazas activas, que proporciona inteligencia CTI en tiempo real y contenido de detección curado para enfrentar amenazas actuales y emergentes de cualquier nivel de sofisticación. Los equipos de seguridad pueden acceder a toda la colección de reglas Sigma enriquecidas con contexto y etiquetadas con “CVE”, respaldadas por un conjunto completo de productos para ingeniería de detección impulsada por IA, caza de amenazas automatizada y detección avanzada.
Todas las reglas Sigma pueden utilizarse en múltiples formatos de SIEM, EDR y Data Lake, y están alineadas con MITRE ATT&CK® para asistir en las investigaciones de amenazas. Cada regla también incluye metadatos relevantes. Haga clic en el botón Explorar Detecciones a continuación para profundizar en la pila de detección correspondiente filtrada por la etiqueta “CVE”.
Los ingenieros de seguridad también pueden confiar en Uncoder AI para agilizar y respaldar la ingeniería de detección de principio a fin, mejorando tanto la eficiencia como la cobertura. Con Uncoder AI, los equipos pueden convertir IOCs en consultas de caza personalizadas, construir lógica de detección directamente a partir de inteligencia de amenazas en vivo mediante IA y generar contenido listo para el SOC a través de prompts personalizados. También ofrece validación de sintaxis, optimización de lógica de detección, visualización automatizada de Attack Flow y la capacidad de enriquecer reglas Sigma con técnicas y sub-técnicas detalladas de MITRE ATT&CK, todo orientado a mejorar la calidad y velocidad de detección.
Análisis de CVE-2025-20281 y CVE-2025-20282
Cisco ha emitido recientemente un aviso de seguridad para alertar a las organizaciones sobre dos vulnerabilidades críticas de RCE no autenticadas que afectan a sus plataformas ISE e ISE-PIC.
Los fallos, identificados como CVE-2025-20281 y CVE-2025-20282, han recibido puntuaciones críticas: la primera con una calificación de 9.8 y la segunda con la máxima puntuación de 10.0, lo que indica una gravedad extrema. CVE-2025-20281 afecta a las versiones 3.3 y 3.4 de ISE e ISE-PIC, mientras que CVE-2025-20282 impacta únicamente en la versión 3.4.
CVE-2025-20281 se origina en una validación insuficiente de entradas de usuario en una API expuesta públicamente, permitiendo a atacantes remotos y no autenticados enviar una solicitud especialmente diseñada que ejecuta comandos arbitrarios del sistema operativo con privilegios root. El segundo fallo se debe a una validación inadecuada de archivos en una API interna, lo que permite a adversarios no autenticados subir y ejecutar archivos arbitrarios en directorios protegidos del sistema, también conduciendo a acceso root. Según el proveedor, una explotación exitosa podría permitir almacenar y ejecutar archivos maliciosos o escalar privilegios a nivel root.
Actualmente no existen soluciones alternativas. Las medidas de mitigación recomendadas para CVE-2025-20281 y CVE-2025-20282 consisten en aplicar los parches correspondientes. CVE-2025-20281 se resuelve en ISE/ISE-PIC 3.3 Patch 6 y 3.4 Patch 2, mientras que CVE-2025-20282 se corrige en ISE/ISE-PIC 3.4 Patch 2.
Ambas vulnerabilidades afectan a un producto utilizado comúnmente por grandes empresas, redes gubernamentales, universidades e infraestructuras de proveedores de servicios, lo que hace que el riesgo de compromiso remoto sea especialmente alto, más aún considerando que no se requiere autenticación ni interacción del usuario.
Aunque Cisco ha indicado que no hay evidencia de explotación activa en este momento, se insta encarecidamente a todos los usuarios a actualizar sin demora a las versiones corregidas mencionadas anteriormente (o versiones más recientes). Dado que ambas vulnerabilidades afectan a un producto ampliamente desplegado en empresas, agencias gubernamentales, instituciones académicas y proveedores de servicios, el riesgo de compromiso remoto es particularmente grave. Esta amenaza se agrava por el hecho de que no se requiere autenticación ni interacción del usuario, lo que exige una respuesta inmediata y efectiva por parte de los equipos defensivos para minimizar la exposición potencial. Confíe en la suite completa de productos de SOC Prime impulsada por IA, automatización e inteligencia de amenazas procesable para adelantarse a amenazas críticas y reducir los riesgos cibernéticos que más preocupan a las organizaciones.
