Exploração da Vulnerabilidade CVE-2025-20286: Falha Crítica no Cisco ISE Afeta Implementações em Nuvem da AWS, Microsoft Azure e OCI
Uma vulnerabilidade crítica em Cisco’s Identity Services Engine (ISE) permite que invasores remotos não autenticados recuperem informações sensíveis e realizem ações administrativas em vários ambientes de nuvem após exploração. Com um código de exploit PoC agora acessível publicamente, a falha, rastreada como CVE-2025-20286, representa uma ameaça séria para organizações globais que utilizam o produto correspondente da Cisco quando implantado em plataformas de nuvem populares como AWS, Microsoft Azure e Oracle Cloud Infrastructure (OCI). in Cisco’s Identity Services Engine (ISE) enables unauthenticated remote attackers to retrieve sensitive information and perform administrative actions across various cloud environments upon exploitation. With a PoC code exploit now publicly accessible, the flaw, tracked as CVE-2025-20286, poses a serious threat to global organizations that take advantage of the corresponding Cisco product when deployed on popular cloud platforms like AWS, Microsoft Azure, and Oracle Cloud Infrastructure (OCI).
O cenário de cibersegurança continua a evoluir, mostrando uma tendência crescente em CVEs críticos, vulnerabilidades de zero-day , e um número crescente de ataques em andamento visando falhas de alto impacto. Em junho de 2025, mais de 20.000 vulnerabilidades foram divulgadas, representando um aumento de 16% em comparação com o mesmo período no ano anterior e destacando a necessidade de maior vigilância cibernética para superar as ameaças cibernéticas.
Registrar-se na Plataforma SOC Prime para acessar o feed de ameaças globais ativas que oferece CTI acionável e algoritmos de detecção curados para identificar oportunamente e prevenir ataques em andamento que aproveitam vulnerabilidades críticas. Explore uma vasta biblioteca de regras Sigma filtradas pela tag “CVE” e suportadas por um conjunto completo de produtos para detecção e caça avançada de ameaças clicando
Todas as detecções podem ser utilizadas em dezenas de tecnologias SIEM, EDR e Data Lake e estão alinhadas com o framework MITRE ATT&CK para investigação inteligente de ameaças. Cada regra é enriquecida com CTI links, cronogramas de ataque, configurações de auditoria, recomendações de triagem, e outros metadados relevantes. Clique Explorar Detecções abaixo para acessar uma coleção extensa de regras Sigma baseadas em comportamento filtradas pela tag “CVE”:
Análise do CVE-2025-20286
A Cisco lançou recentemente atualizações de segurança para corrigir uma vulnerabilidade crítica no ISE que poderia facilitar operações maliciosas em sistemas afetados quando armada por adversários. A vulnerabilidade, identificada como CVE-2025-20286 e atribuída a uma pontuação CVSS de 9.9 de 10, é classificada como uma falha de credencial estática.
A vulnerabilidade impacta implantações na nuvem do ISE na AWS, Azure e OCI, permitindo que invasores remotos não autenticados acessem dados sensíveis, realizem ações administrativas limitadas, alterem configurações do sistema ou interrompam serviços. Embora exista um exploit PoC, a Cisco afirma que não há indicação de exploração ativa em campo.
A causa raiz reside em credenciais estáticas geradas de forma inadequada durante implantações na nuvem do Cisco ISE. Estas credenciais são idênticas em todas as implantações que compartilham a mesma versão de software e plataforma de nuvem, levando a uma situação onde, por exemplo, todas as instâncias do ISE versão 3.1 na AWS usam as mesmas credenciais. No entanto, estas credenciais estáticas não são intercambiáveis entre diferentes versões ou plataformas de nuvem. Por exemplo, credenciais para a versão 3.1 na AWS não funcionariam na versão 3.2, e credenciais para a versão 3.2 na AWS diferem das usadas no Azure.
Após exploração bem-sucedida, o CVE-2025-20286 poderia permitir que adversários extraíssem credenciais de usuário de uma instância do Cisco ISE implantada na nuvem e as utilizassem para obter acesso a outras implantações do ISE em diferentes ambientes de nuvem via portas inseguras. No entanto, a Cisco enfatiza que o problema só afeta as implantações onde o Nó de Administração Principal está hospedado na nuvem, enquanto as on-prem não são impactadas.
Mais especificamente, a falha não afeta implantações on-premises (qualquer fator de forma instalado via ISO ou OVA), ou implantações na nuvem no Azure VMware Solution, Google Cloud VMware Engine ou VMware Cloud na AWS. Também exclui configurações híbridas onde todos os nós administrativos estão on-premises. As versões afetadas incluem Cisco ISE versões 3.1 até 3.4 na AWS, e ISE versões 3.2 até 3.4 no Azure e OCI.
Embora não haja uma solução alternativa direta para esta falha, a Cisco recomenda um conjunto de medidas de mitigação para o CVE-2025-20286 para minimizar os riscos de exploração, incluindo restringir o acesso usando Cloud Security Groups, manter controle de acesso baseado em IP no Cisco ISE, e redefinir credenciais em novas instalações. O fornecedor lançou um hotfix (ise-apply-CSCwn63400_3.1.x_patchall-SPA.tar.gz) aplicável às versões ISE 3.1 até 3.4, abordando a vulnerabilidade até que versões corrigidas estejam disponíveis. Clientes utilizando as versões 3.3 e 3.4 devem atualizar para 3.3P8 ou 3.4P3, respectivamente. Uma correção completa para a versão 3.5 está planejada para lançamento em agosto de 2025.
Devido aos riscos de exploração do CVE-2025-20286 e seu impacto potencialmente severo, os usuários do Cisco ISE devem tratar esta falha como uma preocupação de segurança crítica e abordá-la sem demora. Para ajudar as equipes de segurança a defenderem-se proativamente contra ameaças emergentes e protegerem as organizações contra tentativas de exploração de vulnerabilidades, a Plataforma SOC Prime oferece um conjunto completo de produtos apoiados por IA, automação e inteligência de ameaças em tempo real para construir uma postura de cibersegurança mais robusta.
