Explotación de la Vulnerabilidad CVE-2025-20286: Fallo Crítico en Cisco ISE Afecta Implementaciones en la Nube de AWS, Microsoft Azure y OCI

Una crítica vulnerabilidad en el Identity Services Engine (ISE) de Cisco permite a atacantes remotos no autenticados recuperar información sensible y realizar acciones administrativas a través de varios entornos de nube tras la explotación. Con un código de explotación PoC ahora accesible públicamente, la falla, identificada como CVE-2025-20286, representa una amenaza seria para las organizaciones globales que aprovechan el producto correspondiente de Cisco cuando se implementa en plataformas de nube populares como AWS, Microsoft Azure y Oracle Cloud Infrastructure (OCI). 

El panorama de ciberseguridad sigue evolucionando, mostrando una tendencia creciente en CVEs críticos, vulnerabilidades de día cero y un número creciente de ataques in-the-wild dirigidos a fallas de alto impacto. En junio de 2025, se revelaron más de 20,000 vulnerabilidades representando un aumento del 16% en comparación con el mismo período del año anterior y destacando la necesidad de aumentar la vigilancia cibernética para superar las amenazas cibernéticas. 

Regístrese para la plataforma SOC Prime para obtener acceso al feed global de amenazas activas que ofrece CTI procesable y algoritmos de detección curados para identificar y prevenir oportunamente ataques in-the-wild que aprovechan vulnerabilidades críticas. Explore una vasta biblioteca de reglas Sigma filtradas por la etiqueta ‘CVE’, respaldadas por un conjunto completo de productos para detección y caza avanzada de amenazas haciendo clic 

Todas las detecciones pueden usarse en docenas de tecnologías SIEM, EDR y Data Lake y están alineadas con el marco MITRE ATT&CK para una investigación inteligente de amenazas. Cada regla se enriquece con CTI enlaces, cronologías de ataques, configuraciones de auditoría, recomendaciones de triaje y otros metadatos relevantes. Haga clic en Explorar Detecciones a continuación para acceder a una extensa colección de reglas Sigma basadas en comportamiento, filtradas por la etiqueta ‘CVE’:

Explorar Detecciones

Análisis de CVE-2025-20286

Cisco ha emitido recientemente actualizaciones de seguridad para solucionar una vulnerabilidad crítica de ISE que podría facilitar operaciones maliciosas en sistemas afectados cuando es usada como arma por los adversarios. La vulnerabilidad, identificada como CVE-2025-20286 y con un puntaje CVSS de 9.9 sobre 10, se clasifica como un fallo de credenciales estáticas. 

La vulnerabilidad impacta las implementaciones en la nube de ISE en AWS, Azure y OCI, otorgando a atacantes remotos no autenticados la luz verde para acceder a datos sensibles, realizar acciones administrativas limitadas, alterar configuraciones del sistema o interrumpir servicios. Aunque existe un exploit PoC, Cisco afirma que no hay indicios de explotación activa in-the-wild.

La causa raíz radica en las credenciales estáticas generadas incorrectamente durante las implementaciones en la nube de Cisco ISE. Estas credenciales son idénticas en todas las implementaciones que comparten la misma versión de software y plataforma de nube, lo que lleva a una situación donde, por ejemplo, todas las instancias de ISE versión 3.1 en AWS usan las mismas credenciales. Sin embargo, estas credenciales estáticas no son intercambiables entre diferentes versiones o plataformas de nube. Por ejemplo, las credenciales para la versión 3.1 en AWS no funcionarían en la versión 3.2, y las credenciales para la versión 3.2 en AWS diferirían de las usadas en Azure.

Tras una explotación exitosa, CVE-2025-20286 podría permitir a los adversarios extraer credenciales de usuario de una instancia de Cisco ISE desplegada en la nube y usarlas para acceder a otras implementaciones de ISE a través de diferentes entornos de nube a través de puertos no seguros. Sin embargo, Cisco enfatiza que el problema solo afecta a las implementaciones donde el Nodo de Administración Principal está alojado en la nube, mientras que las locales no están afectadas.

Más específicamente, la falla no impacta en las implementaciones locales (cualquier factor de forma instalado a través de ISO u OVA), o implementaciones en la nube en Azure VMware Solution, Google Cloud VMware Engine, o VMware Cloud en AWS. También excluye configuraciones híbridas donde todos los nodos administrativos están localmente. Las versiones afectadas incluyen las versiones de Cisco ISE 3.1 a 3.4 en AWS, y las versiones de ISE 3.2 a 3.4 en Azure y OCI. 

Aunque no hay una solución directa para este defecto, Cisco recomienda un conjunto de medidas de mitigación viables para CVE-2025-20286 para minimizar los riesgos de explotación, incluyendo restringir el acceso usando Grupos de Seguridad en la Nube, mantener el control de acceso basado en IP en Cisco ISE, y restablecer credenciales en instalaciones nuevas. El proveedor ha lanzado una corrección urgente (ise-apply-CSCwn63400_3.1.x_patchall-SPA.tar.gz) aplicable a las versiones de ISE 3.1 a 3.4, abordando la vulnerabilidad hasta que las versiones corregidas estén disponibles. Los clientes que usan las versiones 3.3 y 3.4 deberían actualizarse a 3.3P8 o 3.4P3, respectivamente. Se planea lanzar una corrección completa para la versión 3.5 en agosto de 2025. 

Debido a los riesgos de explotación de CVE-2025-20286 y su impacto potencialmente grave, los usuarios de Cisco ISE deberían tratar esta falla como una preocupación crítica de seguridad y abordarla sin demora. Para ayudar a los equipos de seguridad a defenderse proactivamente contra emergentes amenazas y proteger a las organizaciones contra intentos de explotación de vulnerabilidades, la plataforma SOC Prime ofrece un conjunto completo de productos respaldados por IA, automatización e inteligencia de amenazas en tiempo real para construir una postura de ciberseguridad más robusta.