Cisco publicou unha nota de seguridade relativa á vulnerabilidade CVE-2025-20337, que afecta a Cisco Identity Services Engine (ISE) en varias das súas versións. Esta vulnerabilidade está a ser explotada activamente como zero-day, incrementando de forma significativa o risco de compromiso en infraestruturas onde ISE é un compoñente central nos procesos de autenticación, autorización e control de acceso.
A vulnerabilidade permite que un atacante remoto sen autenticación execute código arbitrario con privilexios elevados mediante un fallo nos procesos de deserialización, posibilitando a implantación de webshells en memoria (fileless) capaces de evadir mecanismos de análise e rexistro. Detectáronse campañas que empregan reflexión Java para engancharse a procesos Tomcat e monitorizar tráfico HTTP.
As versións afectadas inclúen Cisco ISE 3.1 (antes de Patch 7), 3.2 (antes de Patch 4) e 3.3 ( antes de Patch 2).
Impacto Potencial
- Execución remota de código sen autenticación.
- Implantación de webshells residentes en memoria capaces de evadir análise forense.
- Acceso non autorizado a sistemas críticos de identidade e autenticación.
- Risco elevado de movemento lateral na rede.
- Monitorización encuberta de tráfico HTTP/Tomcat.
- Compromiso total da confidencialidade, integridade e dispoñibilidade da rede.
Recomendacións Inmediatas
- Actualizar de inmediato ás versións corrixidas publicadas por Cisco:
• ISE 3.1 Patch 7
• ISE 3.2 Patch 4
• ISE 3.3 Patch 2 ou posteriores - Aplicar medidas de mitigación temporais se a actualización non pode realizarse de forma inmediata.
- Reforzar a monitorización en SOC/SETeM para identificar accesos anómalos, peticións POST sospeitosas e patróns asociados a webshells en memoria.
- Revisar detidamente configuracións críticas de autenticación, políticas de acceso e segmentación de rede.
- Manter contacto co CERT/INCIBE e cos avisos oficiais de Cisco para recibir actualizacións continuas sobre a explotación desta vulnerabilidade.
