Noticias

Vulnerabilidades críticas en Cisco ISE, IMC y NDFC

Fecha de publicación: 

Resumen ejecutivo

Se han identificado tres vulnerabilidades críticas y de alta importancia en distintos sistemas de Cisco. Las vulnerabilidades permiten desde el acceso a datos sensibles y operaciones administrativas en ISE hasta lograr privilegios elevados en el Controlador de Gestión Integrado, y suplantar a dispositivos en el Dashboard Fabric Controller, a través de explotación de fallas de seguridad y de autenticación. Esto podría permitir a un atacante realizar modificaciones no autorizadas al sistema y/o interceptar tráfico y capturar credenciales sensibles. Dada la alta gravedad de estas amenazas, se recomienda una acción inmediata para mitigar las posibles explotaciones.

Recursos afectados

  • Cisco Identity Services Engine (ISE) en AWS, Azure y OCI - Release 3.1
  • Cisco ISE Software - Versiones de 3.0.0 a 3.1.0 (incluyendo todos sus parches intermedios)
  • Cisco Integrated Management Controller (IMC) para servidores Cisco UCS B-Series, C-Series, S-Series y X-Series
  • Appliances basados en UCS que exponen IMC vía SSH, como APIC, Catalyst Center, Secure Endpoint, HyperFlex, Meeting Server 1000, Telemetry Broker, entre otros.
  • Cisco Nexus Dashboard Fabric Controller (NDFC) - Todas las versiones anteriores a 12.2(3)
  • Cisco Nexus Dashboard (CDN) - Cualquier versión previa a la 3.2(2f)

Análisis técnico

  • CVE-2025-20286: Una vulnerabilidad en Cisco ISE cuando se despliega en la nube (AWS, Azure u OCI) hace que las credenciales administrativas se generen de forma estática y sean idénticas para todas las instancias de una misma versión. Esto significa que, si el nodo de Administración Principal (PAN) está en la nube, un atacante remoto no autenticado puede extraer esas credenciales de una instancia y luego usarlas para acceder a otras, obteniendo así acceso a datos sensibles, capacidad para ejecutar tareas administrativas, modificar configuraciones o interrumpir servicios. Si el PAN está on-premises, la plataforma no se ve afectada.
    • CWE-259
    • CVSS: 9.9 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:H
    • Explotación: No detectada
  • CVE-2025-20261: Una vulnerabilidad en el manejo de la conexión SSH del Controlador de Gestión Integrado de Cisco (IMC) para los servidores Cisco UCS B-Series, UCS C-Series, UCS S-Series y UCS X-Series podría permitir a un atacante remoto autenticado acceder a servicios internos con privilegios elevados. Esta vulnerabilidad se debe a restricciones insuficientes en el acceso a servicios internos. Un atacante con una cuenta de usuario válida podría explotar esta vulnerabilidad utilizando una sintaxis manipulada al conectarse al Cisco IMC de un dispositivo afectado a través de SSH. Un exploit exitoso podría permitir al atacante acceder a servicios internos con privilegios elevados, lo que puede permitir modificaciones no autorizadas al sistema, incluyendo la posibilidad de crear nuevas cuentas de administrador en el dispositivo afectado.
    • CWE-923
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-20163: Una vulnerabilidad en la implementación de SSH del Cisco Nexus Dashboard Fabric Controller (NDFC) podría permitir a un atacante remoto no autenticado, hacerse pasar por dispositivos gestionados por Cisco NDFC. Esta vulnerabilidad se debe a una validación insuficiente de la clave de host SSH. Un atacante podría explotar esta vulnerabilidad realizando un ataque de máquina en el medio en las conexiones SSH a los dispositivos gestionados por Cisco NDFC, lo que podría permitir a un atacante interceptar este tráfico. Un exploit exitoso podría permitir al atacante hacerse pasar por un dispositivo gestionado y capturar las credenciales del usuario.
    • CWE-322
    • CVSS: 8.7 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N
    • Explotación: No detectada

Mitigación / Solución

Para la vulnerabilidad CVE-2025-20286 en Cisco Identity Services Engine (ISE) en plataformas en la nube, el fabricante recomienda actualizar Cisco ISE a una versión que incluya el arreglo asociado al bug CSCwn63400, específicamente Cisco ISE 3.4 con el hot patch HP-CLOUD-CSCwn63400, o cualquier versión posterior que incorpore este fix. Para la vulnerabilidad CVE-2025-20261 en el manejo de conexiones SSH del Cisco Integrated Management Controller (IMC), se sugiere actualizar a firmware parcheado que incluyan los arreglos en las versiones 4.1(3n), 4.2(3k) y 5.2(2.240073). Si no es posible actualizar de inmediato, se recomienda deshabilitar el servicio SSH o el Serial-over-LAN (SoL) en el IMC. En cuanto a la vulnerabilidad CVE-2025-20163 en el protocolo SSH en Cisco Nexus Dashboard Fabric Controller (NDFC), se recomienda actualizar a una versión parcheada de NDFC/Nexus Dashboard, específicamente a la versión Nexus Dashboard Release 3.2(2f) o cualquier versión posterior. Si no se puede actualizar de inmediato, se sugiere habilitar manualmente la validación de host keys en NDFC.

Referencias adicionales