AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Graves vulnerabilidades RCE sin autenticación afectan a Cisco ISE e ISE-PIC: análisis y mitigaciones

admin

Introducción

Cisco ha emitido un boletín de seguridad en el que alerta sobre la existencia de dos vulnerabilidades críticas de ejecución remota de código (RCE) sin autenticación que afectan a dos de sus productos clave en el ámbito de la gestión de identidades y políticas de acceso: Cisco Identity Services Engine (ISE) y el Passive Identity Connector (ISE-PIC). Estas vulnerabilidades, catalogadas con una puntuación CVSSv3 de 9.8, representan un riesgo significativo para organizaciones que dependen de estas soluciones para la autenticación y control de acceso en sus infraestructuras de red.

Contexto del Incidente o Vulnerabilidad

Cisco ISE es ampliamente utilizado por grandes empresas y organismos públicos como plataforma centralizada para la gestión de políticas de acceso y seguridad de red, integrando funcionalidades de autenticación, autorización y auditoría (AAA), así como capacidades de cumplimiento normativo (GDPR, NIS2, PCI DSS, entre otros). El componente ISE-PIC se utiliza para la recolección pasiva de identidades de usuarios, facilitando la correlación de eventos y la respuesta a incidentes.

La publicación de estas vulnerabilidades supone una amenaza crítica, ya que su explotación permitiría a un atacante remoto ejecutar código arbitrario con privilegios elevados, comprometiendo potencialmente el control total sobre el sistema afectado y permitiendo movimientos laterales dentro de la red corporativa.

Detalles Técnicos

Las vulnerabilidades han sido identificadas como CVE-2024-20295 y CVE-2024-20302, ambas relacionadas con la validación inadecuada de las entradas suministradas por el usuario en los servicios web expuestos por Cisco ISE e ISE-PIC. Según el boletín de Cisco, estas fallas permiten a un atacante remoto no autenticado enviar solicitudes especialmente manipuladas a los servicios afectados, desencadenando la ejecución de código arbitrario en el sistema objetivo.

Las Tácticas, Técnicas y Procedimientos (TTP) asociados, siguiendo la matriz MITRE ATT&CK, corresponden a:

– Initial Access: Exploit Public-Facing Application (T1190)
– Execution: Command and Scripting Interpreter (T1059)
– Privilege Escalation: Exploitation for Privilege Escalation (T1068)

Los Indicadores de Compromiso (IoC) iniciales incluyen patrones inusuales de tráfico web hacia los endpoints vulnerables, ejecución de procesos no autorizados y alteraciones en los registros de autenticación. Hasta la fecha, se han identificado PoC (Proof of Concept) funcionales en repositorios públicos y foros especializados, y se espera que su integración en frameworks como Metasploit o Cobalt Strike sea inminente.

Las versiones afectadas son:

– Cisco ISE: versiones 3.1 a 3.3 (todas las compilaciones previas al parche de seguridad publicado el 6 de junio de 2024)
– Cisco ISE-PIC: todas las versiones anteriores a la 3.1.2

Impacto y Riesgos

La explotación exitosa de estas vulnerabilidades permite a un atacante remoto ejecutar código con privilegios de sistema, comprometiendo la confidencialidad, integridad y disponibilidad de la infraestructura de autenticación y control de acceso. En entornos donde ISE actúa como único punto de autenticación, el impacto puede escalar a la toma de control total de la red interna, con capacidad para eludir políticas NAC (Network Access Control) y desplegar malware, ransomware o realizar exfiltración de datos.

Según estimaciones del sector, más del 60% de las grandes empresas en Europa y Norteamérica utilizan Cisco ISE como parte de su arquitectura Zero Trust, lo que amplifica el alcance potencial del ataque. A nivel económico, incidentes previos de RCE en soluciones similares han originado pérdidas superiores a los 2 millones de euros por organización afectada, considerando costes de recuperación, sanciones regulatorias y daños reputacionales.

Medidas de Mitigación y Recomendaciones

Cisco ha publicado actualizaciones de seguridad que corrigen ambas vulnerabilidades. Se recomienda aplicar los parches de inmediato en todos los sistemas afectados, siguiendo las mejores prácticas de gestión de cambios y pruebas en entornos controlados antes del despliegue en producción.

Adicionalmente, se recomienda:

– Restringir el acceso a las interfaces web de administración de ISE e ISE-PIC únicamente a redes de gestión seguras.
– Implementar segmentación de red y políticas de firewall para limitar la exposición de los servicios vulnerables.
– Monitorizar logs y eventos de seguridad en busca de patrones anómalos o intentos de explotación.
– Realizar auditorías periódicas de los controles de acceso y autenticación.
– Integrar reglas específicas en IDS/IPS para detectar intentos de explotación conocidos (basados en firmas y comportamiento).

Opinión de Expertos

Varios analistas de ciberseguridad coinciden en que la criticidad de estas vulnerabilidades reside en la combinación de acceso remoto, falta de autenticación y alto privilegio de ejecución. “La rapidez en la aplicación de parches es esencial, ya que estas plataformas suelen ser objetivos prioritarios para grupos de ransomware y APTs”, señala un consultor de respuesta a incidentes de una de las principales firmas del sector. Asimismo, advierten sobre el riesgo de exploits automatizados y campañas de explotación masiva mediante botnets.

Implicaciones para Empresas y Usuarios

La exposición de sistemas críticos como Cisco ISE puede comprometer la capacidad de una organización para cumplir con normativas como GDPR y NIS2, especialmente en lo relativo a la protección de datos personales y la resiliencia operativa. Los responsables de seguridad (CISOs), administradores de sistemas y equipos SOC deben priorizar la identificación y actualización de los sistemas afectados, así como la comunicación interna y formación sobre las nuevas amenazas detectadas.

Conclusiones

La aparición de vulnerabilidades críticas RCE en soluciones de gestión de identidad como Cisco ISE e ISE-PIC subraya la importancia de mantener procesos robustos de gestión de vulnerabilidades y parcheo. La explotación de estas fallas puede tener consecuencias devastadoras para la seguridad corporativa, tanto a nivel técnico como regulatorio. Es imprescindible adoptar una postura proactiva, combinando la actualización tecnológica con monitorización avanzada y formación continua.

(Fuente: www.bleepingcomputer.com)