Noticias

Vulnerabilidades de alto impacto en ISE, NX-OS e IOS de Cisco

Fecha de publicación: 

Cisco ha publicado múltiples alertas de seguridad sobre vulnerabilidades críticas y altas en sus productos. En Cisco Identity Services Engine (ISE) e ISE-PIC, las vulnerabilidades CVE-2025-20124 y CVE-2025-20125, con CVSS de 9.9 y 9.1 respectivamente, podrían permitir la ejecución de comandos arbitrarios y la modificación de configuraciones. En Cisco NX-OS Software, la vulnerabilidad CVE-2024-20397 (CVSS 5.2) permite la omisión de verificación de firmas de imagen, comprometiendo la integridad del sistema. En Cisco IOS, IOS XE e IOS XR, múltiples vulnerabilidades en el subsistema SNMP (CVE-2025-20169, CVE-2025-20170, CVE-2025-20171, entre otros), con CVSS de hasta 7.7, pueden causar denegación de servicio. No hay soluciones alternativas y Cisco recomienda aplicar las actualizaciones de seguridad disponibles de inmediato.

Recursos afectados

  • Cisco IOS Software
  • Cisco IOS XE Software
  • Cisco IOS XR Software
  • Cisco NX-OS Software
  • Cisco MDS 9000 Series Multilayer Switches
  • Cisco Nexus 3000 Series Switches
  • Cisco Nexus 7000 Series Switches
  • Cisco Nexus 9000 Series Switches
  • Cisco UCS 6400 Series Fabric Interconnects
  • Cisco UCS 6500 Series Fabric Interconnects

Análisis técnico

  • CVE-2025-20124: Una vulnerabilidad en una API de Cisco ISE podría permitir a un atacante remoto y autenticado ejecutar comandos arbitrarios como usuario root en un dispositivo afectado. Esta vulnerabilidad se debe a la deserialización insegura de flujos de bytes Java proporcionados por el usuario en el software afectado. Un atacante podría explotar esta vulnerabilidad enviando un objeto Java serializado fabricado a una API afectada. Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios en el dispositivo y elevar privilegios. Nota: Para explotar exitosamente esta vulnerabilidad, el atacante debe tener credenciales administrativas de solo lectura válidas. En un despliegue de nodo único, los nuevos dispositivos no podrán autenticarse durante el tiempo de recarga.
  • CWE-502
  • CVSS: 9.9
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:H/A:H
  • Explotación: No detectada
  • CVE-2025-20125: Vulnerabilidad en una API de Cisco ISE podría permitir que un atacante remoto autenticado con credenciales de solo lectura válidas obtenga información confidencial, cambie las configuraciones de nodo y reinicie el nodo. Esta vulnerabilidad se debe a la falta de autorización en una API específica y a la validación incorrecta de los datos suministrados por el usuario. Un atacante podría explotar esta vulnerabilidad enviando una solicitud HTTP manipulada a una API específica en el dispositivo. Un exploit exitoso podría permitir al atacante obtener información, modificar la configuración del sistema y recargar el dispositivo. Nota:  Para explotar con éxito esta vulnerabilidad, el atacante debe tener credenciales administrativas válidas de solo lectura. En una implementación de un solo nodo, los nuevos dispositivos no podrán autenticarse durante el tiempo de recarga.
  • CWE-285
  • CVSS: 9.1
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:H
  • Explotación: No detectada
  • CVE-2025-20170: Una vulnerabilidad en el subsistema SNMP del software Cisco IOS y Cisco IOS XE podría permitir que un atacante remoto autenticado cause una condición de DoS en un dispositivo afectado. Esta vulnerabilidad se debe a un manejo inadecuado de errores al analizar solicitudes SNMP. Un atacante podría explotar esta vulnerabilidad enviando una solicitud SNMP manipulada a un dispositivo afectado. Un exploit exitoso podría permitir que el atacante provoque una recarga inesperada del dispositivo, lo que resulta en una condición de DoS. Esta vulnerabilidad afecta a las versiones SNMP 1, 2c y 3. Para explotar esta vulnerabilidad a través de SNMP v2c o versiones anteriores, el atacante debe conocer una cadena de comunidad SNMP válida de solo lectura o lectura-escritura para el sistema afectado. Para explotar esta vulnerabilidad a través de SNMP v3, el atacante debe tener credenciales de usuario SNMP válidas para el sistema afectado.
  • CWE-805
  • CVSS: 7.7
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
  • Explotación: No detectada
  • CVE-2025-20172: Una vulnerabilidad en el subsistema SNMP de Cisco IOS Software, Cisco IOS XE Software y Cisco IOS XR Software podría permitir a un atacante remoto autenticado causar una condición de DoS en un dispositivo afectado. Esta vulnerabilidad se debe a un manejo inadecuado de errores al analizar solicitudes SNMP. Un atacante podría explotar esta vulnerabilidad enviando una solicitud SNMP especialmente diseñada a un dispositivo afectado. Para Cisco IOS y IOS XE Software, un exploit exitoso podría permitir al atacante hacer que el dispositivo se reinicie inesperadamente, lo que resultaría en una condición de DoS. Para Cisco IOS XR Software, un exploit exitoso podría permitir al atacante hacer que el proceso SNMP se reinicie, resultando en una respuesta SNMP interrumpida desde un dispositivo afectado. Los dispositivos que están ejecutando Cisco IOS XR Software no se reiniciarán. Esta vulnerabilidad afecta a las versiones SNMP 1, 2c y 3. Para explotar esta vulnerabilidad a través de SNMP v2c o versiones anteriores, el atacante debe conocer una cadena de comunidad SNMP válida de lectura y escritura o solo de lectura para el sistema afectado. Para explotar esta vulnerabilidad a través de SNMP v3, el atacante debe tener credenciales de usuario SNMP válidas para el sistema afectado.
  • CWE -
  • CVSS: 7.7
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
  • Explotación: No detectada
  • CVE-2025-20175: Una vulnerabilidad en el subsistema SNMP del software Cisco IOS y del software Cisco IOS XE podría permitir a un atacante remoto autenticado causar una condición de DoS en un dispositivo afectado. Esta vulnerabilidad se debe a un manejo inadecuado de errores al analizar solicitudes SNMP. Un atacante podría explotar esta vulnerabilidad enviando una solicitud SNMP manipulada a un dispositivo afectado. Un exploit exitoso podría permitir al atacante hacer que el dispositivo se reinicie inesperadamente, lo que resulta en una condición de DoS. Esta vulnerabilidad afecta las versiones 1, 2c y 3 de SNMP. Para explotar esta vulnerabilidad a través de SNMP v2c o versiones anteriores, el atacante debe conocer una cadena de comunidad SNMP válida con permisos de lectura y escritura o solo de lectura para el sistema afectado. Para explotar esta vulnerabilidad a través de SNMP v3, el atacante debe tener credenciales de usuario SNMP válidas para el sistema afectado.
  • CWE-805
  • CVSS: 7.7
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
  • Explotación: No detectada
  • CVE-2025-20171: Vulnerabilidad en el subsistema SNMP de Cisco IOS Software y Cisco IOS XE Software podría permitir que un atacante remoto autenticado provoque una condición DoS en un dispositivo afectado. Esta vulnerabilidad se debe a un manejo incorrecto de errores al analizar las solicitudes SNMP. Un atacante podría explotar esta vulnerabilidad enviando una solicitud SNMP manipulada a un dispositivo afectado. Un exploit exitoso podría permitir que el atacante haga que el dispositivo se vuelva a cargar inesperadamente, lo que resulta en una condición DoS.  esta vulnerabilidad afecta a las versiones 1, 2c y 3 de SNMP. Para explotar esta vulnerabilidad a través de SNMP v2c o anterior, el atacante debe conocer una cadena de comunidad SNMP válida de lectura-escritura o solo lectura para el sistema afectado. Para explotar esta vulnerabilidad a través de SNMP v3, el atacante debe tener credenciales de usuario SNMP válidas para el sistema afectado
  • CWE -
  • CVSS: 7.7
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
  • Explotación: No detectada
  • CVE-2025-20176: vulnerabilidad en el subsistema SNMP de Cisco IOS Software y Cisco IOS XE Software podría permitir que un atacante remoto autenticado provoque una condición DoS en un dispositivo afectado. Esta vulnerabilidad se debe a un manejo incorrecto de errores al analizar las solicitudes SNMP. Un atacante podría explotar esta vulnerabilidad enviando una solicitud SNMP manipulada a un dispositivo afectado. Un exploit exitoso podría permitir que el atacante haga que el dispositivo se vuelva a cargar inesperadamente, lo que resulta en una condición DoS.  esta vulnerabilidad afecta a las versiones 1, 2c y 3 de SNMP. Para explotar esta vulnerabilidad a través de SNMP v2c o anterior, el atacante debe conocer una cadena de comunidad SNMP válida de lectura-escritura o solo lectura para el sistema afectado. Para explotar esta vulnerabilidad a través de SNMP v3, el atacante debe tener credenciales de usuario SNMP válidas para el sistema afectado.
  • CWE -
  • CVSS: 7.7
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
  • Explotación: No detectada
  • CVE-2025-20174: vulnerabilidad en el subsistema SNMP de Cisco IOS Software y Cisco IOS XE Software podría permitir que un atacante remoto autenticado provoque una condición DoS en un dispositivo afectado. Esta vulnerabilidad se debe a un manejo incorrecto de errores al analizar las solicitudes SNMP. Un atacante podría explotar esta vulnerabilidad enviando una solicitud SNMP manipulada a un dispositivo afectado. Un exploit exitoso podría permitir que el atacante haga que el dispositivo se vuelva a cargar inesperadamente, lo que resulta en una condición DoS.  esta vulnerabilidad afecta a las versiones 1, 2c y 3 de SNMP. Para explotar esta vulnerabilidad a través de SNMP v2c o anterior, el atacante debe conocer una cadena de comunidad SNMP válida de lectura-escritura o solo lectura para el sistema afectado. Para explotar esta vulnerabilidad a través de SNMP v3, el atacante debe tener credenciales de usuario SNMP válidas para el sistema afectado.
  • CWE -
  • CVSS: 7.7
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
  • Explotación: No detectada
  • CVE-2025-20173: vulnerabilidad en el subsistema SNMP de Cisco IOS Software y Cisco IOS XE Software podría permitir que un atacante remoto autenticado provoque una condición DoS en un dispositivo afectado. Esta vulnerabilidad se debe a un manejo incorrecto de errores al analizar las solicitudes SNMP. Un atacante podría explotar esta vulnerabilidad enviando una solicitud SNMP manipulada a un dispositivo afectado. Un exploit exitoso podría permitir que el atacante haga que el dispositivo se vuelva a cargar inesperadamente, lo que resulta en una condición DoS.  esta vulnerabilidad afecta a las versiones 1, 2c y 3 de SNMP. Para explotar esta vulnerabilidad a través de SNMP v2c o anterior, el atacante debe conocer una cadena de comunidad SNMP válida de lectura-escritura o solo lectura para el sistema afectado. Para explotar esta vulnerabilidad a través de SNMP v3, el atacante debe tener credenciales de usuario SNMP válidas para el sistema afectado.
  • CWE -
  • CVSS: 7.7
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
  • Explotación: No detectada
  • CVE-2025-20169: Una vulnerabilidad en el subsistema SNMP del software Cisco IOS y del software Cisco IOS XE podría permitir a un atacante remoto autenticado causar una condición de DoS en un dispositivo afectado. Esta vulnerabilidad se debe a un manejo inadecuado de errores al analizar solicitudes SNMP. Un atacante podría explotar esta vulnerabilidad enviando una solicitud SNMP manipulada a un dispositivo afectado. Un exploit exitoso podría permitir al atacante hacer que el dispositivo se reinicie inesperadamente, lo que resulta en una condición de DoS. Esta vulnerabilidad afecta las versiones 1, 2c y 3 de SNMP. Para explotar esta vulnerabilidad a través de SNMP v2c o versiones anteriores, el atacante debe conocer una cadena de comunidad SNMP válida con permisos de lectura y escritura o solo de lectura para el sistema afectado. Para explotar esta vulnerabilidad a través de SNMP v3, el atacante debe tener credenciales de usuario SNMP válidas para el sistema afectado.
  • CWE-805
  • CVSS: 7.7
  • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
  • Explotación: No detectada

Mitigación / Solución

Cisco recomienda actualizar el software de los productos afectados a las versiones corregidas para mitigar las vulnerabilidades críticas y altas. No hay soluciones alternativas disponibles. Las actualizaciones recomendadas incluyen:

  • Cisco Identity Services Engine (ISE) e ISE-PIC: Actualizar a Cisco ISE 3.1P10, 3.2P7, 3.3P4 o migrar desde la versión 3.0 a una versión corregida.
  • Cisco NX-OS Software: Se recomienda actualizar a las versiones que incluyen la corrección para la verificación de firma de imagen.
  • Cisco IOS, IOS XE e IOS XR Software: Aplicar las actualizaciones que corrigen las vulnerabilidades en el subsistema SNMP.

Para más información sobre la actualización del software, consulte la guía de actualización en el sitio web de soporte de Cisco: Cisco Security Advisories.

Referencias adicionales