A Cisco lançou patches de segurança para corrigir uma falha crítica de segurança que afeta o Identity Services Engine (ISE) que, se explorada com sucesso, pode permitir que agentes não autenticados realizem ações maliciosas em sistemas suscetíveis.
A falha de segurança, identificada como CVE-2025-20286 , possui uma pontuação CVSS de 9,9 em 10,0. Ela foi descrita como uma vulnerabilidade de credencial estática.
“Uma vulnerabilidade nas implantações de nuvem do Cisco Identity Services Engine (ISE) da Amazon Web Services (AWS), Microsoft Azure e Oracle Cloud Infrastructure (OCI) pode permitir que um invasor remoto não autenticado acesse dados confidenciais, execute operações administrativas limitadas, modifique configurações do sistema ou interrompa serviços nos sistemas afetados”, disse a empresa em um comunicado.
A fabricante de equipamentos de rede, que creditou Kentaro Kawane, da GMO Cybersecurity, por relatar a falha, observou que está ciente da existência de uma falha de prova de conceito (PoC). Não há evidências de que ela tenha sido explorada maliciosamente.
A Cisco disse que o problema decorre do fato de que as credenciais são geradas incorretamente quando o Cisco ISE está sendo implantado em plataformas de nuvem, fazendo com que diferentes implantações compartilhem as mesmas credenciais, desde que a versão do software e a plataforma de nuvem sejam as mesmas.
Em outras palavras, as credenciais estáticas são específicas para cada versão e plataforma, mas não são válidas para todas as plataformas. Como a empresa destaca, todas as instâncias do Cisco ISE versão 3.1 na AWS terão as mesmas credenciais estáticas.
No entanto, credenciais válidas para acesso a uma implantação da versão 3.1 não seriam válidas para acessar uma implantação da versão 3.2 na mesma plataforma. Além disso, a versão 3.2 na AWS não teria as mesmas credenciais que a versão 3.2 no Azure.
A exploração bem-sucedida da vulnerabilidade pode permitir que um invasor extraia as credenciais do usuário da implantação em nuvem do Cisco ISE e as use para acessar o Cisco ISE implantado em outros ambientes de nuvem por meio de portas não seguras.
Isso poderia, em última análise, permitir acesso não autorizado a dados confidenciais, execução de operações administrativas limitadas, alterações nas configurações do sistema ou interrupções de serviço. Dito isso, o Cisco ISE só é afetado nos casos em que o nó de Administração Primária está implantado na nuvem. Os nós de Administração Primária locais não são afetados.
As seguintes versões são afetadas –
- AWS – Cisco ISE 3.1, 3.2, 3.3 e 3.4
- Azure – Cisco ISE 3.2, 3.3 e 3.4
- OCI – Cisco ISE 3.2, 3.3 e 3.4
Embora não haja soluções alternativas para lidar com o CVE-2025-20286, a Cisco recomenda que os usuários restrinjam o tráfego a administradores autorizados ou executem o comando “application reset-config ise” para redefinir as senhas dos usuários para um novo valor. No entanto, é importante observar que a execução do comando redefinirá o Cisco ISE para a configuração de fábrica.
