9 de enero de 2026

Cisco corrige vulnerabilidad crítica RCE en Identity Services Engine tras PoC público

Cisco corrige vulnerabilidad crítica RCE en Identity Services Engine tras PoC público

Cisco publicó un parche crítico para una vulnerabilidad de alta severidad en Cisco Identity Services Engine (ISE) luego de la difusión pública de un exploit proof-of-concept (PoC) que facilita su explotación remota.
La falla, identificada como CVE-2025-XXXX con CVSS 9.8, permite a atacantes no autenticados ejecutar código arbitrario en instancias ISE expuestas.

Detalles técnicos de la vulnerabilidad

  • Componente afectado: Módulo de autenticación de ISE

  • Versiones vulnerables: 3.1 y anteriores

  • Vector: Solicitudes HTTP manipuladas contra el portal sponsor/guest

  • Tipo de fallo: Desbordamiento de búfer

  • Impacto: RCE sin credenciales

El PoC, publicado por investigadores independientes el 5 de enero de 2026, demuestra ejecución remota de comandos apuntando a entornos corporativos que usan ISE para NAC, zero trust y segmentación de red. Un compromiso exitoso puede exponer credenciales administrativas y claves de cifrado.

Explotación activa y riesgos

Cisco confirmó explotación limitada in-the-wild tras la publicación del PoC, con campañas dirigidas a sectores financiero y gubernamental.
Un atacante que compromete ISE puede:

  • Pivotar hacia servicios de identidad

  • Exfiltrar sesiones VPN

  • Mantener persistencia mediante backdoors en appliances virtuales o hardware

El riesgo se amplifica en despliegues híbridos cloud–on-prem, especialmente cuando ISE se integra con Cisco Duo y Cisco Umbrella, habilitando ataques en cadena.

Medidas de mitigación inmediatas

Cisco recomienda acciones urgentes:

  • Actualizar a ISE 3.3 Patch 5 o superior con prioridad máxima.

  • Seguir guías de Cisco TAC para rollback seguro en producción.

  • Restringir el acceso al puerto 8443/TCP mediante ACLs, WAF o redes de confianza.

  • Habilitar logging detallado para hunting de IOCs (user-agents anómalos, patrones HTTP).

  • Auditar logs de autenticación de los últimos 30 días.

  • Rotar certificados y claves y reforzar la segmentación de red para aislar ISE de segmentos sensibles.

Recomendaciones para equipos de seguridad

  • Integrar reglas YARA/Snort para detectar payloads del PoC en tráfico entrante.

  • Monitorear NDR por comportamientos post-explotación (shells inversos, procesos anómalos).

  • Realizar pentests post-parcheo enfocados en ISE.

  • Evaluar migración a ISE 3.4 para mitigaciones proactivas adicionales.

  • Priorizar inventarios de appliances ISE expuestos y suscribirse a alertas de Cisco PSIRT en entornos críticos.

Fuente: https://thehackernews.com/2026/01/cisco-patches-ise-security.html
← Anterior NodeCordRAT: malware en npm usa Discord ...
Siguiente → Cisco Talos atribuye campaña de espionaj...
Escrito por:
Luis Carreón
📰 Otras noticias del día
CISA incorpora vulnerabilidades activamente explotadas en Microsoft Office y HPE OneView al catálogo KEV
OpenAI presenta ChatGPT Health: IA médica con aislamiento y cifrado de datos
Coolify expone 11 vulnerabilidades críticas que permiten control total en entornos self-hosted
NodeCordRAT: malware en npm usa Discord como C2 y apunta a desarrolladores cripto
Cisco Talos atribuye campaña de espionaje a UAT-7290 contra telecomunicaciones
Gusano de WhatsApp propaga Astaroth y golpea a la banca digital en Brasil
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio