Redazione RHC : 23 julio 2025 10:30
Las vulnerabilidades críticas recientemente descubiertas en la infraestructura de Cisco ya están siendo explotadas activamente por atacantes para atacar las redes corporativas. La compañía ha confirmado oficialmente que su Equipo de Respuesta a Incidentes de Seguridad Pública (PSIRT) ha registrado intentos de explotar estas vulnerabilidades en situaciones reales. Nos referimos a brechas en Cisco Identity Services Engine (ISE) y el módulo Passive Identity Connector (ISE-PIC).
Cisco ISE desempeña un papel clave en el control de acceso: determina quién puede conectarse a la red corporativa y bajo qué condiciones. Comprometer la integridad de esta plataforma otorga a los atacantes acceso sin restricciones a los sistemas internos de la empresa, lo que les permite eludir los mecanismos de autenticación y registro, convirtiendo así el sistema de seguridad en una puerta abierta. En la notificación oficial, la empresa enumeró tres vulnerabilidades críticas con la puntuación CVSS más alta, 10 sobre 10. Las tres permiten que un atacante remoto no autorizado ejecute comandos en un dispositivo vulnerable como usuario root, que tiene los privilegios más altos en el sistema
Técnicamente, estas vulnerabilidades surgen de la falta de validación de entrada (en los dos primeros casos) y de la comprobación insuficiente de las rutas de subida de archivos (en el tercero). Las opciones de explotación van desde el envío de una solicitud de API especialmente diseñada hasta la subida de un archivo preparado a un servidor. En ambos escenarios, un atacante puede eludir los mecanismos de autenticación y obtener el control total del dispositivo.
A pesar de haber sido explotado activamente, Cisco aún no ha revelado los autores ni el alcance de la situación. Sin embargo, el mero hecho de que hayan aparecido exploits subraya la gravedad de la situación.
La compañía ha publicado parches para abordar todas las vulnerabilidades y recomienda encarecidamente a sus clientes que actualicen su software de inmediato a las últimas versiones. Los sistemas sin parches corren el riesgo de sufrir ataques de toma de control remoto sin autenticación, lo cual es especialmente peligroso para redes que operan bajo una fuerte presión regulatoria o infraestructuras críticas.
Además de instalar actualizaciones, los expertos recomiendan a los administradores de sistemas analizar cuidadosamente los registros de actividad para detectar indicios de solicitudes de API sospechosas o intentos de descarga de archivos no autorizados, especialmente si los componentes de ISE son accesibles externamente.
La situación de Cisco ISE demuestra una vez más la vulnerabilidad que pueden tener incluso los elementos clave de una arquitectura de seguridad si las interfaces de usuario y los controles de datos no se controlan adecuadamente. Dada la prevalencia de estas soluciones en entornos corporativos, su vulnerabilidad podría ser fatal para la seguridad de toda la red interna.
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...