Falha crítica RCE no Cisco ISE: aplicação imediata do patch para CVE-2025-20337 em ISE e ISE-PIC

Escrito por

em

Cisco alerta para falha crítica RCE no Cisco ISE e exige atualização para Release 3.4 Patch 2 e 3.3 Patch 7

A Cisco divulgou um alerta de máxima gravidade sobre uma nova falha crítica RCE no Cisco ISE, identificada como CVE-2025-20337, que permite execução remota de código sem autenticação em seu Identity Services Engine e no ISE Passive Identity Connector. A vulnerabilidade atinge as versões 3.3 e 3.4 do ISE e do ISE-PIC, não ocorrendo em versões 3.2 ou anteriores, e possibilita que um invasor remoto execute código arbitrário no sistema operacional subjacente com privilégios de root.

O que a vulnerabilidade permite

A falha explora uma API pública que não valida adequadamente as entradas, o que abre caminho para requisições malformadas capazes de executar comandos com privilégios de root sem necessidade de credenciais. A Cisco enfatiza que o problema é causado por sanitização inadequada de requisições em uma API específica, a mesma afetada pela falha CVE-2025-20281 corrigida anteriormente.

Especialistas alertam para a gravidade do caso. Randolph Barr, diretor de segurança da informação na Cequence Security, afirmou: “A divulgação da falha pela Cisco evidencia um padrão preocupante na infraestrutura exposta por APIs: a validação insuficiente de entradas que possibilita a execução remota de código sem autenticação. Com uma pontuação CVSS de 10, este é um cenário catastrófico, em que atacantes podem obter acesso root sem credenciais ou interação do usuário.”

Patches e mitigação obrigatórios

Para corrigir a falha crítica RCE no Cisco ISE, a Cisco liberou atualizações específicas: Cisco ISE Release 3.4 Patch 2 e Release 3.3 Patch 7. A empresa deixa claro que não existem alternativas para mitigar integralmente a vulnerabilidade, então a atualização para essas versões corrigidas é imprescindível.

É importante observar que os hot patches aplicados em resposta à CVE-2025-20281 não solucionam a nova falha, o que torna obrigatória a instalação das versões indicadas. Administradores devem priorizar testes e aplicação das atualizações em ambientes de produção, considerando dependências de alta disponibilidade e requisitos de reinicialização que podem atrasar o processo.

Riscos, contexto e recomendações práticas

Além da criticidade técnica, a divulgação ocorre num contexto em que a utilização de ferramentas de inteligência artificial generativa facilita a exploração automatizada de vulnerabilidades. Barr destacou que a IA tem democratizado a exploração, permitindo que atacantes com pouca experiência “identifiquem sistemas Cisco ISE expostos, criem requisições maliciosas via API e lancem ataques direcionados, acelerando significativamente a janela de vulnerabilidade.”

Diante disso, as organizações devem seguir um conjunto de medidas imediatas. Primeiro, verificar inventário e exposição pública de instâncias ISE e ISE-PIC e aplicar Release 3.4 Patch 2 ou Release 3.3 Patch 7 conforme a versão instalada. Segundo, reforçar monitoração e proteção das APIs com soluções especializadas em segurança de APIs, capazes de detectar e bloquear atividades anômalas em tempo real, fornecer pontuação de risco dos endpoints e interromper escaneamentos automatizados e entrega de cargas maliciosas.

Por fim, é essencial planejar a remediação em ambientes distribuídos, pois a aplicação de patches em larga escala costuma exigir janelas de manutenção, reinicializações e cuidados com configurações de alta disponibilidade, fatores que atrasam a correção. Apesar da agilidade da Cisco na divulgação e na liberação de patches, a realidade operacional pode tornar a atualização imediata desafiadora, aumentando o risco de exploração enquanto a correção não é aplicada.

Em um mês agitado para a empresa, a Cisco já havia corrigido outra falha grave relacionada a acesso root, originada pelo armazenamento oculto de credenciais fixas usadas em testes internos. Esse histórico reforça a necessidade de revisão contínua das práticas de segurança de software e de inventário de ativos expostos, especialmente quando APIs críticas estão em jogo.

Resumindo, a falha crítica RCE no Cisco ISE exige ação imediata: identifique instâncias afetadas, planeje a aplicação dos patches indicados, e implemente controles adicionais de proteção de API e detecção de anomalias para reduzir a janela de risco enquanto a correção é implantada.

Comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *