A Cisco corrigiu uma vulnerabilidade em sua solução de controle de acesso à rede, o Identity Services Engine (ISE), que pode ser explorada por atacantes com privilégios administrativos.
Um código de exploit proof-of-concept (PoC) já está disponível publicamente, aumentando o risco para ambientes desatualizados.
O Cisco ISE é amplamente utilizado por grandes corporações para gerenciar o acesso de endpoints, usuários e dispositivos aos recursos da rede, suportando a arquitetura zero-trust. A falha identificada (
CVE-2026-20029
) afeta tanto o ISE quanto o Cisco ISE Passive Identity Connector (ISE-PIC), independentemente da configuração dos dispositivos. Atacantes remotos com privilégios elevados podem explorar essa brecha para acessar informações sensíveis.
Segundo a Cisco, a vulnerabilidade ocorre devido ao processamento inadequado de XML na interface web de gerenciamento do ISE e do ISE-PIC.
O ataque é realizado enviando um arquivo malicioso para a aplicação. Caso o exploit seja bem-sucedido, o invasor consegue ler arquivos arbitrários no sistema operacional subjacente, incluindo dados que deveriam ser inacessíveis mesmo para administradores.
É importante destacar que a exploração exige credenciais administrativas legítimas. Embora não haja evidências de ataques em andamento, a Cisco alerta que o código PoC está disponível online.
A empresa considera as soluções paliativas temporárias e recomenda fortemente a atualização para a versão corrigida do software, eliminando a exposição futura.
Além dessa vulnerabilidade, a Cisco também corrigiu diversas falhas no IOS XE que permitem que invasores remotos não autenticados reiniciem o motor de detecção Snort 3, causando negação de serviço (DoS) ou obtendo informações sensíveis do tráfego.
No entanto, não foram detectados exploits públicos nem indícios de exploração ativa dessas falhas.
Em um incidente anterior, em novembro, a equipe de inteligência contra ameaças da Amazon alertou que hackers já exploravam uma vulnerabilidade zero-day crítica no Cisco ISE (
CVE-2025-20337
) para distribuir malware customizado.
Na época do patch, em julho, a Cisco informou que essa falha permitia que atacantes não autenticados executassem código arbitrário ou obtivessem privilégios de root.
Nas semanas seguintes, a empresa atualizou seu alerta confirmando a exploração ativa da
CVE-2025-20337
. O pesquisador Bobby Gould, que descobriu a falha, liberou um código PoC para o exploit.
Em dezembro, a Cisco também alertou sobre um grupo chinês de ameaças conhecido como UAT-9686, que vem explorando outra zero-day crítica no Cisco AsyncOS (
CVE-2025-20393
), ainda sem patch disponível.
Os ataques têm como alvo os appliances Secure Email and Web Manager (SEWM) e Secure Email Gateway (SEG).
Enquanto a correção para a
CVE-2025-20393
não é disponibilizada, a orientação da Cisco é reforçar a segurança desses equipamentos, restringindo o acesso a hosts confiáveis, limitando conexões à internet e utilizando firewalls para controlar o tráfego de rede.
Esses incidentes recentes reforçam a necessidade de práticas rigorosas de patch management e monitoramento constante para evitar que vulnerabilidades críticas comprometam infraestruturas essenciais de segurança e rede.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...