Cisco corrige vulnerabilidad crítica en ISE con PoC pública

Mayela Marín

hace 10 meses

Cisco ha publicado hotfixes para su Identity Services Engine (ISE) tras revelarse CVE-2025-20286, una vulnerabilidad de credenciales estáticas que afecta a implementaciones en la nube de AWS, Azure y Oracle Cloud Infrastructure y que ya cuenta con código de prueba de concepto.

Cuando se despliega un nodo de Administración Primaria de ISE en la nube, el asistente de instalación genera las mismas credenciales para todas las instancias que compartan versión y plataforma. Un atacante sin autenticar podría:

Extraer las credenciales de una instancia comprometida.
Usarlas para acceder a otras instalaciones ISE en diferentes nubes o clientes.
Ver datos sensibles, alterar configuraciones o interrumpir el servicio.

Versiones afectadas

Plataforma	Versiones vulnerables	Parche (hotfix)
AWS	3.1 – 3.4	3.1-2-HF, 3.2-4-HF, 3.3-3-HF, 3.4-1-HF
Azure	3.2 – 3.4	idem
OCI	3.2 – 3.4	idem

Las versiones 3.0 y anteriores no se ven afectadas. ISE on-prem y despliegues híbridos con el nodo de administración local tampoco son vulnerables.

Impacto potencial

Acceso no autorizado con privilegios administrativos limitados.
Exposición de políticas de acceso y perfiles de dispositivos.
Cambio de configuraciones de autenticación RADIUS/TACACS+ y corte de servicio.

Mitigaciones y recomendaciones

Aplicar los hotfixes específicos para cada versión cuanto antes.
Si no es posible actualizar:
- Ejecutar application reset-config ise en el nodo afectado (reinicia a valores de fábrica).
- Restringir el tráfico entrante únicamente a administradores autorizados mediante ACL en el security group de la nube.
Auditar los registros de inicio de sesión y cambios de configuración tras la actualización.
Rotar todas las contraseñas de cuentas internas y claves API asociadas a ISE.