Na segunda-feira(21), a Cisco atualizou seu aviso sobre um conjunto de falhas de segurança recentemente divulgadas no Identity Services Engine (ISE) e no ISE Passive Identity Connector (ISE-PIC) para reconhecer explorações ativas.
"Em julho de 2025, o Cisco PSIRT (Product Security Incident Response Team) tomou conhecimento de tentativas de exploração dessas vulnerabilidades no mundo real," afirmou a empresa em um alerta.
O fornecedor de equipamentos de rede não divulgou quais vulnerabilidades foram armadas em ataques reais, a identidade dos atores de ameaças que as exploram, ou a escala da atividade.
O Cisco ISE desempenha um papel central no controle de acesso à rede, gerenciando quais usuários e dispositivos são permitidos em redes corporativas e sob quais condições.
Um comprometimento nesse nível poderia dar aos atacantes acesso irrestrito aos sistemas internos, burlando controles de autenticação e mecanismos de registro — transformando um motor de políticas em uma porta aberta.
As vulnerabilidades delineadas no alerta são todas falhas críticas (pontuações CVSS: 10.0) que poderiam permitir a um atacante remoto não autenticado emitir comandos no sistema operacional subjacente como o usuário root -
CVE-2025-20281
e
CVE-2025-20337
- Múltiplas vulnerabilidades em uma API específica que poderiam permitir a um atacante remoto não autenticado executar código arbitrário no sistema operacional subjacente como root
CVE-2025-20282
- Uma vulnerabilidade em uma API interna que poderia permitir a um atacante remoto não autenticado fazer upload de arquivos arbitrários para um dispositivo afetado e, em seguida, executar esses arquivos no sistema operacional subjacente como root
Enquanto as primeiras duas falhas são o resultado de uma validação insuficiente de entrada fornecida pelo usuário, a última decorre da falta de verificações de validação de arquivo que impediriam que arquivos carregados fossem colocados em diretórios privilegiados em um sistema afetado.
Como resultado, um atacante poderia explorar essas deficiências enviando uma solicitação de API elaborada (para
CVE-2025-20281
e
CVE-2025-20337
) ou fazendo upload de um arquivo elaborado para o dispositivo afetado (para
CVE-2025-20282
).
Diante da exploração ativa, é essencial que os clientes atualizem para um lançamento de software corrigido o mais rápido possível para remediar essas vulnerabilidades.
Essas falhas são exploráveis remotamente sem autenticação, colocando sistemas não corrigidos em alto risco de execução remota de código pré-autenticação—uma preocupação de primeira linha para defensores gerenciando infraestrutura crítica ou ambientes orientados por conformidade.
As equipes de segurança também devem revisar os logs do sistema em busca de atividades suspeitas de API ou uploads de arquivos não autorizados, especialmente em implantações expostas externamente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...