O pesquisador de segurança Bobby Gould publicou um post em seu blog demonstrando uma cadeia completa de exploração para o
CVE-2025-20281
, uma vulnerabilidade de execução remota de código não autenticado no Cisco Identity Services Engine (ISE).
A vulnerabilidade crítica foi divulgada pela primeira vez em 25 de junho de 2025, com a Cisco alertando que ela afeta as versões 3.3 e 3.4 do ISE e ISE-PIC, permitindo que atacantes remotos não autenticados façam upload de arquivos arbitrários no sistema alvo e os executem com privilégios de root.
O problema tem origem em deserialização insegura e injeção de comando no método enableStrongSwanTunnel().
Três semanas depois, o fornecedor adicionou mais uma falha ao mesmo boletim,
CVE-2025-20337
, que se relaciona com a mesma falha, mas agora está dividida em duas partes,
CVE-2025-20281
(injeção de comando) e
CVE-2025-20337
(deserialização).
Embora hotfixes tenham sido disponibilizados anteriormente, a Cisco instou os usuários a atualizarem para o Patch 7 da versão 3.3 e Patch 2 da versão 3.4 para resolver ambas as vulnerabilidades.
Em 22 de julho de 2025, a Cisco marcou tanto o
CVE-2025-20281
quanto o
CVE-2025-20337
como ativamente explorados em ataques, instando os administradores a aplicarem as atualizações de segurança o quanto antes.
Com tempo suficiente tendo passado para permitir que os administradores aplicassem as atualizações, Gould publicou agora seu artigo, onde demonstra a ativação da falha de injeção de comando no Cisco ISE via um payload Java String[] serializado.
O pesquisador consegue a execução arbitrária de comandos como root dentro de um contêiner Docker ao explorar o comportamento do Runtime.exec() do Java e usando ${IFS} para contornar problemas de tokenização de argumentos.
Por fim, Gould demonstra como escapar do contêiner Docker privilegiado e obter acesso root no sistema hospedeiro usando uma técnica de escape de contêineres Linux bem conhecida baseada em cgroups e release_agent.
Embora o artigo de Gould não seja um script de exploração armamentizado que hackers podem diretamente incorporar em sua cadeia de ataque, ele fornece todos os detalhes técnicos e a estrutura de payload necessária para que hackers habilidosos recriem toda a exploração.
Mesmo que a exploração ativa no mundo real já esteja acontecendo, o lançamento desta exploração tende a aumentar a atividade maliciosa.
Não existem soluções alternativas para esta vulnerabilidade, então aplicar os patches conforme instruído no boletim do fornecedor é o curso de ação recomendado.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...