Falhas críticas de RCE na Cisco ISE e ISE-PIC permitem acesso root não autenticado

A Cisco divulgou recentemente atualizações urgentes para corrigir duas falhas de segurança de gravidade máxima em seus produtos Identity Services Engine (ISE) e ISE Passive Identity Connector (ISE-PIC). Essas vulnerabilidades, que receberam uma pontuação CVSS de 10,0 (a máxima possível), permitem que um invasor não autenticado execute comandos arbitrários com privilégios de root nos sistemas afetados.

As falhas foram identificadas como CVE-2025-20281 e CVE-2025-20282. A CVE-2025-20281 é uma vulnerabilidade de execução remota de código (RCE) não autenticada que afeta o Cisco ISE e o ISE-PIC nas versões 3.3 e posteriores. Essencialmente, ela permite que um hacker remoto e não autenticado execute código arbitrário no sistema operacional subjacente como root. A Cisco explicou que essa vulnerabilidade é resultado de uma validação insuficiente da entrada fornecida pelo usuário, que pode ser explorada por meio do envio de uma solicitação de API elaborada para obter privilégios elevados e executar comandos.

Já a CVE-2025-20282 também é uma vulnerabilidade de RCE não autenticada, mas afeta especificamente as versões 3.4 do Cisco ISE e ISE-PIC. Esta falha permite que um invasor remoto e não autenticado carregue arquivos arbitrários em um dispositivo comprometido e os execute no sistema operacional subjacente como root.

O problema aqui reside na falta de validação de arquivos, que de outra forma impediria que arquivos enviados fossem colocados em diretórios privilegiados. Segundo a Cisco, "uma exploração bem-sucedida pode permitir que o invasor armazene arquivos maliciosos no sistema afetado e, em seguida, execute código arbitrário ou obtenha privilégios de root no sistema".

A Cisco confirmou que não há soluções alternativas para esses problemas, enfatizando a necessidade de aplicação das correções. As deficiências foram corrigidas nas seguintes versões:

• Para CVE-2025-20281: Cisco ISE ou ISE-PIC 3.3 Patch 6 (ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz) e 3.4 Patch 2 (ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz).

  
  

• Para CVE-2025-20282: Cisco ISE ou ISE-PIC 3.4 Patch 2 (ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz).

A empresa de equipamentos de rede agradeceu a Bobby Gould, da Trend Micro Zero Day Initiative, e a Kentaro Kawane, da GMO Cybersecurity, por relatarem a CVE-2025-20281. Kawane também foi reconhecido por relatar a CVE-2025-20282, além de ter anteriormente notificado a Cisco sobre a CVE-2025-20286, que possui uma pontuação CVSS de 9,9.

Embora não haja evidências de que essas vulnerabilidades tenham sido exploradas em ataques reais até o momento, é crucial que os usuários ajam rapidamente para aplicar as correções disponíveis e se protegerem contra potenciais ameaças. A gravidade dessas falhas ressalta a importância de manter os sistemas atualizados e monitorar constantemente as recomendações de segurança dos fornecedores.

Via - THN