El investigador en ciberseguridad Bobby Gould ha compartido un artículo técnico en el que explica paso a paso cómo se puede explotar la vulnerabilidad CVE-2025-20281, la cual afecta de forma crítica a Cisco Identity Services Engine (ISE). Esta vulnerabilidad, que permite la ejecución remota de código sin necesidad de autenticación previa, fue revelada por primera vez el pasado 25 de junio de 2025.

Información técnica de la vulnerabilidad

El fallo se encuentra en el método enableStrongSwanTunnel() de las versiones 3.3 y 3.4 de Cisco ISE e ISE-PIC. Esta vulnerabilidad surge a partir de una combinación entre deserialización insegura de objetos en Java y una inyección de comandos, permitiendo a atacantes remotos cargar archivos arbitrarios y ejecutarlos con permisos de root en los sistemas afectados.

Cisco posteriormente desglosó la falla original en dos identificadores separados:

  • CVE-2025-20281: asociado a la inyección de comandos.
  • CVE-2025-20337: relacionado con la deserialización insegura.

Ambas vulnerabilidades ya cuentan con actualizaciones oficiales. La compañía recomienda instalar:

  • Patch 7 para ISE versión 3.3
  • Patch 2 para ISE versión 3.4

El pasado 22 de julio, Cisco confirmó que estas vulnerabilidades ya están siendo utilizadas activamente por atacantes.

Sobre la prueba de concepto

El artículo de Gould presenta una demostración en la que se utiliza una carga útil Java especialmente diseñada que permite la ejecución remota de comandos a través de Runtime.exec(). También se detalla cómo evadir problemas de tokenización mediante el uso de ${IFS}.

Además, el investigador muestra cómo, desde el contenedor Docker donde se ejecuta ISE, se puede llevar a cabo un escape de contenedor usando una técnica basada en cgroups y el archivo release_agent, lo que permitiría al atacante obtener control total del sistema host.

Si bien no se ha publicado un exploit completamente automatizado, la información técnica disponible es suficiente para que atacantes capacitados puedan reproducir el ataque.

Recomendaciones generales

Debido al riesgo que representa esta vulnerabilidad y al hecho de que se encuentra siendo explotada activamente, se recomienda:

  • Aplicar de inmediato los parches correspondientes distribuidos por Cisco.
  • Realizar revisiones en los sistemas que estén expuestos a internet o a redes no confiables.
  • Mantener monitoreo activo sobre las actividades inusuales dentro de los servidores que utilizan Cisco ISE.

Actualmente, no existen soluciones alternativas o mitigaciones provisionales efectivas. La única medida efectiva es la actualización de las versiones afectadas.

Fuente: bleepingcomputer[.]com

You May Also Like

piratas informáticos se hacen pasar por periodistas y organizaciones de medios para implementar malware

wpadmin001

ExelaStealer, un malware «low-cost» que abre la puerta a nuevos delincuentes

HKN FEED

La reciente versión del troyano bancario TgToxic se actualiza con mejoras diseñadas para evitar el análisis.

HKN FEED