A Cisco emitiu um alerta de segurança importante, disponibilizando atualizações para corrigir três vulnerabilidades significativas que afetam as suas soluções Identity Services Engine (ISE) e Customer Collaboration Platform (CCP). A notícia preocupante é que já existe código de exploração (exploit) público para todas elas, aumentando a urgência da aplicação das correções.
Ameaça principal: Credenciais estáticas no Cisco ISE (CVE-2025-20286)
A vulnerabilidade mais severa das três, identificada como CVE-2025-20286, é classificada como crítica e reside no Cisco Identity Services Engine (ISE). Esta plataforma é crucial para muitas empresas, fornecendo controlo de acesso de terminais e administração de dispositivos de rede. A falha, descoberta por Kentaro Kawane da GMO Cybersecurity, deve-se à geração incorreta de credenciais durante a implementação do Cisco ISE em plataformas na nuvem, resultando na partilha das mesmas credenciais entre diferentes implementações.
Isto significa que atacantes não autenticados podem conseguir extrair credenciais de utilizador de implementações do Cisco ISE na nuvem e usá-las para aceder a instalações noutros ambientes de nuvem. No entanto, a Cisco salienta que a exploração bem-sucedida desta falha só é possível se o Nó de Administração Principal (Primary Administration node) estiver implementado na nuvem.
"Uma vulnerabilidade nas implementações do Cisco Identity Services Engine (ISE) nas plataformas de nuvem Amazon Web Services (AWS), Microsoft Azure e Oracle Cloud Infrastructure (OCI) pode permitir que um atacante remoto não autenticado aceda a dados sensíveis, execute operações administrativas limitadas, modifique configurações do sistema ou interrompa serviços nos sistemas afetados," explicou a empresa. "A equipa PSIRT da Cisco está ciente de que existe código de exploração de prova de conceito para a vulnerabilidade descrita neste comunicado."
Implementações ISE a salvo e medidas de mitigação
A Cisco também detalhou os cenários em que as implementações do ISE não estão vulneráveis a estes ataques específicos:
- Todas as implementações locais (on-premises) com quaisquer formatos onde os artefactos são instalados a partir do Centro de Downloads de Software da Cisco (ISO ou OVA). Isto inclui appliances e máquinas virtuais.
- ISE na Azure VMware Solution (AVS).
- ISE no Google Cloud VMware Engine.
- ISE na VMware Cloud em AWS.
- Implementações híbridas com todas as personas de Administrador ISE (Administração Primária e Secundária) locais, com outras personas na nuvem.
Para os administradores que ainda aguardam uma correção urgente (hotfix) ou não podem aplicar imediatamente as atualizações lançadas, a Cisco aconselha a execução do comando application reset-config ise no nó da persona de Administração Principal na nuvem. Este comando irá redefinir as palavras-passe dos utilizadores para um novo valor. Contudo, é crucial notar que este procedimento reverte o Cisco ISE para a configuração de fábrica, e a restauração de cópias de segurança também restaurará as credenciais originais comprometidas.
Outras duas vulnerabilidades também com correções
As outras duas falhas de segurança com código de exploração de prova de conceito já corrigidas são:
- CVE-2025-20130: Uma vulnerabilidade de carregamento arbitrário de ficheiros no Cisco ISE.
- CVE-2025-20129: Uma falha de divulgação de informação na Cisco Customer Collaboration Platform (anteriormente conhecida como Cisco SocialMiner).
Cisco atenta à segurança dos seus produtos
Este conjunto de correções surge após outras ações da Cisco para proteger os seus utilizadores. Em setembro passado, por exemplo, a empresa corrigiu outra vulnerabilidade no ISE, especificamente uma falha de injeção de comandos com código de exploração público que poderia permitir a atacantes escalar privilégios para administrador (root) em sistemas não corrigidos. Recomenda-se vivamente que os administradores dos sistemas afetados apliquem as atualizações mais recentes o mais rapidamente possível.
Nenhum comentário
Seja o primeiro!