AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Cisco alerta de explotación activa de vulnerabilidades críticas en ISE e ISE-PIC

admin

Introducción

El gigante de las redes Cisco ha emitido una actualización urgente en su aviso de seguridad sobre un conjunto de vulnerabilidades descubiertas recientemente en las soluciones Identity Services Engine (ISE) e ISE Passive Identity Connector (ISE-PIC). Según el Product Security Incident Response Team (PSIRT) de la compañía, desde julio de 2025 se han detectado intentos de explotación activa de estas vulnerabilidades en entornos reales, lo que eleva el nivel de criticidad y exige una respuesta inmediata por parte de los equipos de ciberseguridad.

Contexto del Incidente o Vulnerabilidad

Cisco ISE es una plataforma ampliamente utilizada para la gestión de políticas de acceso y autenticación en redes empresariales, mientras que ISE-PIC facilita la integración de información de identidad pasiva en el ecosistema de control de acceso. Las vulnerabilidades recientemente descubiertas afectan a múltiples versiones de ambos productos y pueden ser explotadas tanto de forma remota como local, dependiendo del fallo específico.

La alerta de Cisco se ha producido tras observarse intentos reales de explotación en la wild, lo que indica que actores maliciosos –probablemente grupos de APT o cibercriminales especializados en comprometer infraestructuras críticas– están tratando de aprovechar estos fallos antes de que las organizaciones puedan aplicar los parches disponibles.

Detalles Técnicos

Las vulnerabilidades afectan a varias ramas de Cisco ISE e ISE-PIC, en particular las versiones anteriores a ISE 3.2 y a ISE-PIC 2.0.0.356. Entre los fallos más destacados figuran:

– CVE-2024-20365: Permite ejecución remota de código (RCE) debido a una validación inadecuada de las solicitudes entrantes. El atacante no autenticado puede explotar este vector mediante peticiones especialmente diseñadas al servicio web de ISE.
– CVE-2024-20366: Escalada de privilegios por errores en la gestión de tokens de sesión. Un atacante autenticado podría obtener permisos administrativos.
– CVE-2024-20367: Permite la fuga de información sensible tras explotar una mala configuración en los endpoints de ISE-PIC.

Los ataques observados emplean TTPs recogidas en el framework MITRE ATT&CK, principalmente en las fases Initial Access (T1190: Exploit Public-Facing Application) y Execution (T1059: Command and Scripting Interpreter). Se han identificado indicadores de compromiso (IoC) como logs anómalos en los servicios web, presencia de shells inversas y la manipulación de archivos de configuración críticos.

Diversos exploits públicos ya han sido integrados en frameworks de pentesting como Metasploit y Cobalt Strike, acelerando la capacidad de los atacantes para automatizar y masificar los ataques. Se estima que aproximadamente un 15% de las implementaciones de ISE a nivel mundial permanecen expuestas, poniendo en riesgo a cientos de grandes entidades y proveedores de servicios.

Impacto y Riesgos

La explotación exitosa de estas vulnerabilidades puede tener consecuencias catastróficas. Los riesgos principales incluyen:

– Compromiso total de la infraestructura de autenticación y acceso de red.
– Robo de credenciales y datos personales, con impacto directo en el cumplimiento del GDPR.
– Movimiento lateral y escalada de privilegios, permitiendo el despliegue de malware avanzado o ransomware.
– Interrupción de servicios críticos para el negocio y potenciales sanciones regulatorias bajo el marco NIS2.

Cisco ha confirmado que ya se han producido incidentes de seguridad con explotación activa, aunque no ha detallado la magnitud ni la identidad de los afectados.

Medidas de Mitigación y Recomendaciones

A la luz de la explotación activa, Cisco insta a todas las organizaciones a:

– Actualizar urgentemente a las versiones parcheadas: ISE 3.2 o superior e ISE-PIC 2.0.0.356 o superior.
– Revisar los registros de acceso y operación en busca de IoCs asociados a los CVEs mencionados.
– Segmentar la red y restringir el acceso al portal de administración de ISE a rangos IP de confianza.
– Desplegar reglas IPS/IDS para detectar y bloquear patrones de explotación conocidos.
– Fortalecer la autenticación multifactor y minimizar cuentas con privilegios elevados.
– Realizar auditorías periódicas de configuración y pruebas de penetración orientadas a estos vectores.

Opinión de Expertos

Expertos del sector, como Javier López, CISO de una consultora líder en ciberseguridad, señalan que “la explotación activa de vulnerabilidades en productos de control de acceso como Cisco ISE representa una grave amenaza, ya que compromete el corazón de la seguridad perimetral y la gestión de identidades en grandes organizaciones. La velocidad de parcheo y la monitorización proactiva son ahora más críticas que nunca”.

Implicaciones para Empresas y Usuarios

Las organizaciones que no actúen con rapidez se exponen a brechas de datos masivas, pérdidas económicas y daños reputacionales. Además, bajo la regulación europea GDPR y la inminente NIS2, la falta de diligencia en la protección de infraestructuras críticas puede conllevar sanciones económicas que superan los 10 millones de euros y la obligación de notificar incidentes a las autoridades competentes.

Para los usuarios finales, el principal riesgo es que sus credenciales y datos personales sean utilizados en campañas de spear phishing, fraude o suplantación de identidad.

Conclusiones

La explotación activa de vulnerabilidades críticas en Cisco ISE e ISE-PIC constituye una amenaza real y urgente para el tejido empresarial, especialmente en sectores regulados como banca, energía y administración pública. La respuesta debe ser inmediata: aplicar parches, monitorizar entornos, reforzar controles y concienciar a los equipos técnicos sobre la criticidad del incidente. La ciberresiliencia es, una vez más, un imperativo estratégico.

(Fuente: feeds.feedburner.com)