AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

### Cisco corrige una vulnerabilidad crítica en ISE que permite acceso no autenticado mediante credenciales estáticas

admin

#### Introducción

El pasado 28 de junio de 2024, Cisco publicó un parche de seguridad para abordar una vulnerabilidad crítica que afecta a su plataforma Identity Services Engine (ISE), una pieza clave en la gestión de identidades y acceso en infraestructuras corporativas. El fallo, identificado como CVE-2025-20286 y con una puntuación CVSS de 9,9 sobre 10, ha generado preocupación entre los profesionales de la ciberseguridad debido a su facilidad de explotación y el potencial impacto en redes empresariales.

#### Contexto del Incidente o Vulnerabilidad

Cisco ISE es ampliamente utilizado por empresas y organismos para centralizar la autenticación, autorización y auditoría de usuarios y dispositivos en sus redes. La vulnerabilidad ahora corregida reside en el uso de credenciales estáticas incluidas por defecto en ciertas configuraciones de la plataforma, lo que podría permitir a actores maliciosos ejecutar acciones no autorizadas sin requerir autenticación previa.

La existencia de cuentas o contraseñas predeterminadas ha sido históricamente un vector de ataque frecuente, especialmente en soluciones de identidad y control de acceso, donde un compromiso puede derivar rápidamente en la escalada lateral y la obtención de privilegios elevados.

#### Detalles Técnicos

La vulnerabilidad CVE-2025-20286 afecta a las versiones de Cisco ISE anteriores a la 3.2.1. Las instancias desplegadas con la configuración por defecto pueden contener credenciales estáticas para servicios internos de la plataforma, en particular en los procesos de integración y automatización que utilizan interfaces RESTful y servicios internos de gestión.

Un atacante, con acceso a la red interna o mediante técnicas de escaneo automatizado, podría identificar el servicio expuesto y autenticarse empleando las credenciales embebidas, obteniendo así acceso administrativo o de alto privilegio sobre la plataforma. Según el aviso de Cisco, no se requiere interacción alguna por parte del usuario víctima, ni conocimiento previo del entorno objetivo.

De acuerdo con el framework MITRE ATT&CK, el vector se clasifica bajo la técnica T1078 (Valid Accounts) y puede facilitar la ejecución de comandos arbitrarios (T1059), la obtención de información sensible (T1082) y la manipulación de registros de autenticación (T1070).

Se han detectado scripts de explotación en entornos de pruebas y laboratorios, y se anticipa que el exploit se integre próximamente en frameworks como Metasploit o Cobalt Strike, lo que elevaría el riesgo de explotación masiva.

#### Impacto y Riesgos

El impacto potencial es crítico, especialmente en organizaciones que dependen de ISE para la segmentación de red, el control de acceso basado en roles (RBAC) y la gestión de dispositivos IoT. Un atacante podría:

– Escalar privilegios y comprometer la administración de la red.
– Alterar o deshabilitar políticas de acceso, abriendo la puerta a movimientos laterales.
– Obtener credenciales adicionales y datos sensibles.
– Interrumpir servicios críticos, con posibles implicaciones para la continuidad del negocio y la protección de datos personales.

El riesgo se ve agravado por el hecho de que muchas organizaciones no actualizan sus appliances ISE con la frecuencia recomendada, y por la falta de segmentación adecuada entre redes de gestión y de producción.

Según estimaciones de Cisco, hasta un 35% de los despliegues empresariales de ISE podrían estar en versiones vulnerables. El coste potencial de un incidente de este tipo, según el último informe de IBM Cost of a Data Breach, supera de media los 4,45 millones de dólares.

#### Medidas de Mitigación y Recomendaciones

Cisco urge a los administradores a aplicar inmediatamente los parches disponibles en ISE 3.2.1 y versiones superiores. Se recomienda:

– Revisar la existencia de credenciales estáticas en los sistemas y eliminarlas o rotarlas.
– Deshabilitar interfaces de gestión expuestas innecesariamente.
– Implementar controles de acceso basados en red (NAC) y segmentar el tráfico de administración.
– Monitorizar logs de autenticación y actividad inusual en los nodos de ISE.
– Utilizar autenticación multifactor (MFA) para el acceso administrativo.
– Realizar pruebas de intrusión periódicas para detectar cuentas o credenciales por defecto.

En el contexto normativo europeo, la explotación de esta vulnerabilidad podría suponer un incumplimiento de la GDPR (artículos 32 y 33 sobre seguridad del tratamiento y notificación de brechas), así como de la directiva NIS2 sobre seguridad de redes y sistemas de información.

#### Opinión de Expertos

Analistas de ciberseguridad como José Ramón Palanco (CISO de una entidad bancaria española) destacan que «la presencia de credenciales estáticas en sistemas de gestión de identidades representa un riesgo sistémico, especialmente en entornos donde la visibilidad y el control de la infraestructura son limitados». Por su parte, el CERT de la Universidad Politécnica de Madrid recomienda «la revisión continua de configuraciones y la aplicación de hardening incluso en appliances de fabricantes de primer nivel».

#### Implicaciones para Empresas y Usuarios

Para las empresas, el incidente subraya la importancia de gestionar de manera proactiva la seguridad de los sistemas de identidad, asegurando la actualización y el control de credenciales. Los usuarios finales podrían verse afectados por interrupciones de servicio o accesos indebidos a recursos internos, especialmente en sectores críticos como sanidad, energía o administraciones públicas.

El caso refuerza la tendencia del mercado a favorecer soluciones Zero Trust y la automatización de la respuesta a incidentes, así como la necesidad de auditorías regulares sobre credenciales y accesos privilegiados.

#### Conclusiones

La vulnerabilidad CVE-2025-20286 en Cisco ISE pone de relieve que, incluso en productos de referencia, la gestión inadecuada de credenciales sigue siendo un talón de Aquiles para la ciberseguridad corporativa. La rápida aplicación de parches y el refuerzo de buenas prácticas en la configuración y monitorización son esenciales para mitigar riesgos presentes y futuros, especialmente ante la inminente integración de exploits en herramientas de ataque automatizadas.

(Fuente: feeds.feedburner.com)