CVE-2025-20281 e CVE-2025-20282: Falhas Críticas de RCE no Cisco ISE Permitem Acesso Root
À medida que o calor do verão aumenta, também cresce a onda de vulnerabilidades críticas que incendeiam o panorama das ameaças cibernéticas. Logo após a divulgação da CVE-2025-49144 no Notepad++, vieram à tona múltiplas falhas críticas no Cisco Identity Services Engine (ISE) e no ISE Passive Identity Connector (ISE-PIC). As novas vulnerabilidades identificadas, rastreadas como CVE-2025-20281 e CVE-2025-20282, concedem acesso root a atacantes não autenticados, aumentando significativamente o risco para redes empresariais.
A exploração de vulnerabilidades continua a ser um dos vetores de ataque mais perigosos e persistentes no cenário moderno de ameaças, especialmente quando afeta produtos amplamente utilizados por grandes organizações em setores diversos, incluindo o setor público e infraestruturas críticas. Agentes maliciosos priorizam cada vez mais a exploração de falhas em plataformas populares para obter acesso inicial e estabelecer controle sobre sistemas essenciais.
De acordo com o recém-publicado Relatório de Investigações de Violação de Dados 2025 (DBIR) da Verizon, o uso de vulnerabilidades como método de acesso inicial aumentou 34%, representando agora 20% de todas as violações. Complementando esses dados, a Mandiant, da Google, aponta que, pelo quinto ano consecutivo, a exploração de vulnerabilidades foi o vetor inicial de infecção mais observado em investigações de incidentes. Nos casos em que o ponto de entrada foi identificado, 33% das intrusões começaram com a exploração de uma falha de software. Essas tendências evidenciam a urgência de aplicar correções tempestivamente, manter uma gestão contínua de vulnerabilidades e adotar estratégias proativas de deteção, sobretudo em sistemas críticos no núcleo das infraestruturas institucionais.
Ataques de RCE resultantes de vulnerabilidades não corrigidas aumentam drasticamente os riscos para equipas de cibersegurança. O surgimento das vulnerabilidades críticas de execução remota de código CVE-2025-20281 e CVE-2025-20282 nos produtos Cisco pode permitir controlo remoto total e comprometimento do sistema alvo sem necessidade de autenticação ou interação do utilizador — um risco severo para organizações a nível global.
Registe-se na Plataforma SOC Prime para aceder ao feed global de ameaças ativas, fornecendo CTI em tempo real e conteúdos de deteção curados para superar ameaças atuais e emergentes de qualquer nível de complexidade. As equipas de segurança têm acesso à coleção completa de regras Sigma contextualizadas, marcadas com o tag “CVE”, integradas numa suíte de produtos com deteção baseada em IA, hunting automatizado e deteção avançada de ameaças.
Todas as regras Sigma podem ser utilizadas em diversos formatos de SIEM, EDR e Data Lake, estando alinhadas com o MITRE ATT&CK® para auxiliar as equipas na investigação de ameaças. Cada regra vem enriquecida com metadados relevantes. Clique no botão Explore Detections abaixo para explorar o stack de deteção associado às vulnerabilidades atuais filtradas por “CVE”.
Os engenheiros de segurança também podem contar com o Uncoder AI para agilizar e apoiar toda a engenharia de deteção, aumentando a eficiência e a cobertura. Com o Uncoder AI, as equipas podem converter IOCs em queries de hunting personalizadas, construir lógica de deteção a partir de inteligência de ameaças em tempo real com IA e gerar conteúdo pronto para SOC através de prompts personalizados. Também oferece validação de sintaxe, otimização de lógica de deteção, visualização automatizada de Attack Flow e enriquecimento de regras Sigma com técnicas MITRE ATT&CK detalhadas, elevando a qualidade e a velocidade de deteção.
Análise das Vulnerabilidades CVE-2025-20281 e CVE-2025-20282
A Cisco emitiu recentemente um aviso de segurança alertando sobre duas vulnerabilidades críticas de execução remota não autenticada nos seus produtos ISE e ISE-PIC.
As falhas, identificadas como CVE-2025-20281 e CVE-2025-20282, receberam classificações críticas — a primeira com pontuação 9.8 e a segunda com o valor máximo possível: 10.0. A CVE-2025-20281 afeta as versões 3.3 e 3.4 do ISE e ISE-PIC, enquanto a CVE-2025-20282 afeta apenas a versão 3.4.
A CVE-2025-20281 decorre de uma validação insuficiente de entradas do utilizador numa API exposta publicamente, permitindo que atacantes remotos e não autenticados enviem pedidos especialmente manipulados para executar comandos arbitrários no sistema com privilégios de root. Já a segunda falha deve-se à validação inadequada de ficheiros numa API interna, possibilitando a upload e execução de ficheiros arbitrários em diretórios protegidos do sistema, igualmente com acesso root. Segundo a Cisco, um ataque bem-sucedido pode permitir armazenamento e execução de ficheiros maliciosos ou elevação de privilégios para root.
Atualmente, não existem soluções alternativas. As medidas recomendadas para mitigar a CVE-2025-20281 e a CVE-2025-20282 incluem aplicar os patches adequados. A CVE-2025-20281 está resolvida nos patches 3.3 Patch 6 e 3.4 Patch 2 do ISE/ISE-PIC, enquanto a CVE-2025-20282 foi corrigida no patch 3.4 Patch 2.
Ambas as vulnerabilidades afetam produtos amplamente utilizados por grandes empresas, redes governamentais, universidades e fornecedores de serviços, o que torna o risco de comprometimento remoto especialmente elevado, dado que não é necessário autenticação nem interação do utilizador.
A Cisco declarou que não há evidência de exploração ativa no momento, mas recomenda-se fortemente que todos os utilizadores atualizem para as versões corrigidas mencionadas (ou superiores) sem demora. Uma vez que ambas as vulnerabilidades impactam sistemas amplamente usados em empresas, agências governamentais, ambientes académicos e infraestruturas críticas, o risco de comprometimento remoto é especialmente severo. Este risco é agravado pelo facto de não requerer autenticação nem interação do utilizador, exigindo uma resposta rápida e eficaz das equipas de defesa para reduzir a exposição. Conte com a suíte completa da SOC Prime, com IA, automação e inteligência de ameaças acionável, para se manter à frente das ameaças mais críticas e reduzir o risco de ciberataques iminentes.
