A Cisco liberou patches de segurança para corrigir uma falha crítica que afeta o Identity Services Engine (ISE), que, se explorada com sucesso, poderia permitir que atores não autenticados realizassem ações maliciosas em sistemas suscetíveis.
A falha de segurança, identificada como
CVE-2025-20286
, recebeu uma pontuação CVSS de 9.9 em 10.0.
Ela foi descrita como uma vulnerabilidade de credenciais estáticas.
"Uma vulnerabilidade nos deployments do Cisco Identity Services Engine (ISE) na Amazon Web Services (AWS), Microsoft Azure e Oracle Cloud Infrastructure (OCI) poderia permitir a um atacante remoto não autenticado acessar dados sensíveis, executar operações administrativas limitadas, modificar configurações do sistema ou interromper serviços nos sistemas impactados", disse a companhia em um comunicado.
A fabricante de equipamentos de rede, que creditou Kentaro Kawane da GMO Cybersecurity por reportar a falha, observou que está ciente da existência de um exploit proof-of-concept (PoC).
Não há evidências de que tenha sido explorada maliciosamente em ataques reais.
A Cisco disse que o problema origina-se do fato de que as credenciais são geradas de maneira inadequada quando o Cisco ISE é implementado em plataformas de nuvem, fazendo com que diferentes deployments compartilhem as mesmas credenciais, desde que o software e a plataforma de nuvem sejam os mesmos.
Em outras palavras, as credenciais estáticas são específicas para cada lançamento e plataforma, mas não válidas entre plataformas.
Como destaca a empresa, todas as instâncias do Cisco ISE release 3.1 na AWS terão as mesmas credenciais estáticas.
Entretanto, credenciais válidas para acesso a um deployment da release 3.1 não seriam válidas para acessar um deployment da release 3.2 na mesma plataforma.
Além disso, a Release 3.2 na AWS não teria as mesmas credenciais que a Release 3.2 no Azure.
A exploração bem-sucedida da vulnerabilidade poderia permitir que um atacante extraísse as credenciais de usuário do deployment do Cisco ISE na nuvem e, então, usasse-as para acessar o Cisco ISE implementado em outros ambientes de nuvem através de portas desprotegidas.
Isso poderia, em última análise, permitir acesso não autorizado a dados sensíveis, execução de operações administrativas limitadas, alterações nas configurações do sistema ou interrupções de serviço.
Dito isso, o Cisco ISE só é afetado nos casos em que o nó de Administração Primária é implementado na nuvem.
Nós de Administração Primária que estão on-premises não são impactados.
As seguintes versões são afetadas:
AWS - Cisco ISE 3.1, 3.2, 3.3 e 3.4
Azure - Cisco ISE 3.2, 3.3 e 3.4
OCI - Cisco ISE 3.2, 3.3 e 3.4
Embora não existam soluções alternativas para resolver o
CVE-2025-20286
, a Cisco está recomendando que os usuários restrinjam o tráfego para administradores autorizados ou executem o comando "application reset-config ise" para redefinir as senhas dos usuários para um novo valor.
No entanto, vale ressaltar que executar o comando redefinirá o Cisco ISE para a configuração de fábrica.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...