ISGroup Consultoría de Ciberseguridad

CVE-2025-20337 – Ejecución remota de código (RCE) – Cisco Identity Services Engine (ISE)

Cisco Identity Services Engine (ISE) es una plataforma de control de acceso y gestión de identidades que permite a las organizaciones aplicar políticas de seguridad y cumplimiento en toda la infraestructura de red.
CVE‑2025‑20337 permite a atacantes no autenticados ejecutar comandos arbitrarios con privilegios de root mediante solicitudes API especialmente diseñadas.
La vulnerabilidad se debe a una validación insuficiente de la entrada en un endpoint de API vulnerable.
La vulnerabilidad afecta a las versiones de Cisco ISE/ISE‑PIC anteriores a la 3.3 Patch 7 y 3.4 Patch 2.

CVE‑2025‑20337 está listada en el catálogo KEV de vulnerabilidades explotadas conocidas de CISA.

ProductoCisco ISE
Fecha2025-07-19 13:24:46
Información
  • Solución disponible

Resumen técnico

Esta vulnerabilidad se debe a una gestión inadecuada de la entrada en una de las API web de Cisco ISE. En particular, el defecto reside en la forma en que los datos proporcionados por el usuario son saneados antes de su ejecución dentro de los comandos del sistema.
Un atacante puede crear una solicitud HTTP API maliciosa para obtener una inyección de comandos no autenticada, lo que resulta en la ejecución remota de código con acceso de nivel root.

No se requiere ninguna autenticación y el atacante no necesita privilegios elevados, lo que convierte a este problema en uno crítico.
Cisco ISE se implementa a menudo en entornos corporativos sensibles, lo que aumenta el riesgo de movimientos laterales extensos tras la explotación.

Recomendaciones

  1. Actualizar inmediatamente: Actualice Cisco ISE/ISE‑PIC a la versión 3.3 Patch 7 o 3.4 Patch 2. Los parches anteriores (ej. CVE‑2025‑20281/20282) no mitigan esta vulnerabilidad.

  2. Limitar el acceso a las API: Asegúrese de que los endpoints de API afectados no estén expuestos públicamente. Limite el acceso de gestión a redes internas confiables.

  3. Verificar y monitorear: Monitoree los registros de solicitudes API para detectar patrones de acceso inusuales o parámetros sospechosos. Preste atención a anomalías de ejecución y picos de acceso privilegiado.

[Callforaction-THREAT-Footer]

In