Cisco ha publicado una nota de seguridad referente a la vulnerabilidad CVE-2025-20337, que afecta a Cisco Identity Services Engine (ISE) en varias de sus versiones. Esta vulnerabilidad está siendo explotada activamente como zero-day, incrementando de manera significativa el riesgo de compromiso en infraestructuras donde ISE es un componente central para la autenticación, autorización y control de acceso.
La vulnerabilidad permite que un atacante remoto no autenticado ejecute código arbitrario con privilegios elevados mediante un fallo en los procesos de deserialización, posibilitando la implantación de webshells en memoria (fileless) capaces de evadir mecanismos de análisis y registro. Algunas campañas detectadas están utilizando reflexión Java para engancharse a procesos Tomcat y monitorizar tráfico HTTP.
Las versiones afectadas incluyen Cisco ISE 3.1 (antes de Patch 7), 3.2 (antes de Patch 4) y 3.3 (antes de Patch 2).
Impacto Potencial
- Ejecución remota de código sin autenticación.
- Implantación de webshells residentes en memoria capaces de evadir análisis forense.
- Acceso no autorizado a sistemas críticos de identidad y autenticación.
- Riesgo elevado de movimiento lateral en la red.
- Monitorización encubierta de tráfico HTTP/Tomcat.
- Compromiso total de la confidencialidad, integridad y disponibilidad de la red.
Recomendaciones Inmediatas
- Actualizar de inmediato a las versiones corregidas publicadas por Cisco:
• ISE 3.1 Patch 7
• ISE 3.2 Patch 4
• ISE 3.3 Patch 2 o posteriores - Aplicar medidas de mitigación temporales si la actualización no puede realizarse de forma inmediata.
- Reforzar la monitorización en SOC/SETeM para identificar accesos anómalos, POST sospechosos y patrones asociados a webshells en memoria.
- Revisar cuidadosamente configuraciones críticas de autenticación, políticas de acceso y segmentación de red.
- Mantener contacto con CERT/INCIBE y con los avisos oficiales de Cisco para recibir actualizaciones continuas sobre la explotación de esta vulnerabilidad.
