Error crítico de Cisco ISE permitir que se ejecuten comandos como root

AXCESS · Febrero 07, 2025, 06:57:58 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Cisco ha publicado parches para solucionar dos vulnerabilidades críticas en su plataforma de gestión de políticas de seguridad Identity Services Engine (ISE).

Los administradores empresariales utilizan Cisco ISE como una solución de gestión de identidad y acceso (IAM) que combina autenticación, autorización y contabilidad en un único dispositivo.

Los dos fallos de seguridad (CVE-2025-20124 y CVE-2025-20125) pueden ser explotados por atacantes remotos autenticados con privilegios de administrador de solo lectura para ejecutar comandos arbitrarios como root y omitir la autorización en dispositivos sin parches.

Estas vulnerabilidades afectan a los dispositivos Cisco ISE y Cisco ISE Passive Identity Connector (ISE-PIC), independientemente de la configuración del dispositivo.

"Esta vulnerabilidad se debe a la deserialización insegura de los flujos de bytes de Java proporcionados por el usuario por parte del software afectado", dijo Cisco, describiendo el error CVE-2025-20124 etiquetado con una calificación de gravedad de 9,9/10.

"Un atacante podría aprovechar esta vulnerabilidad enviando un objeto Java serializado y diseñado a una API afectada. Si lo logra, podría permitir al atacante ejecutar comandos arbitrarios en el dispositivo y elevar los privilegios".

La vulnerabilidad CVE-2025-20125 se debe a la falta de autorización en una API específica y a una validación incorrecta de los datos proporcionados por el usuario, que se pueden aprovechar mediante solicitudes HTTP diseñadas de forma malintencionada para obtener información, modificar la configuración de un sistema vulnerable y recargar el dispositivo.

Se recomienda a los administradores migrar o actualizar sus dispositivos Cisco ISE a una de las versiones corregidas que se enumeran en la siguiente tabla lo antes posible.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El equipo de respuesta a incidentes de seguridad de productos (PSIRT) de Cisco aún no ha descubierto evidencia de código de explotación disponible públicamente o de que las dos fallas de seguridad críticas (reportadas por los investigadores de seguridad de Deloitte Dan Marin y Sebastian Radulea) hayan sido utilizadas de forma abusiva en ataques.

El miércoles, la compañía también advirtió sobre vulnerabilidades de alta gravedad que afectan a su software IOS, IOS XE, IOS XR (CVE-2025-20169, CVE-2025-20170, CVE-2025-20171) y NX-OS (CVE-2024-20397) que pueden permitir a los atacantes activar condiciones de denegación de servicio (DoS) o eludir la verificación de la firma de la imagen de NX-OS.

Cisco aún no ha parcheado las vulnerabilidades DoS que afectan al software IOS, IOS XE e IOS XR con la función SNMP habilitada. Sin embargo, afirmó que no se explotan en la naturaleza y proporcionó medidas de mitigación que requieren que los administradores deshabiliten los identificadores de objetos vulnerables (OID) en los dispositivos vulnerables (aunque esto podría afectar negativamente la funcionalidad o el rendimiento de la red).

La empresa planea implementar actualizaciones de software para abordar los errores de seguridad de DoS de SNMP en febrero y marzo.

En septiembre, Cisco solucionó otra vulnerabilidad de Identity Services Engine (con código de explotación público) que permite a los actores de amenazas escalar privilegios para rootear los dispositivos vulnerables.

Dos meses después, también corrigió una vulnerabilidad de máxima gravedad que permite a los atacantes ejecutar comandos con privilegios de root en puntos de acceso de backhaul inalámbrico ultra confiable (URWB) vulnerables.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Error crítico de Cisco ISE permitir que se ejecuten comandos como root

AXCESS

Febrero 07, 2025, 06:57:58 PM