Cisco ha revelado vulnerabilidades de alta resistencia que afectan el motor de servicios de identidad (ISE).
La vulnerabilidad identificada como CVE-2025-20152 recibió un puntaje CVSS de 8.6, lo que refleja el grave impacto en las redes empresariales que dependen de Cisco ISE para los servicios de autenticación de redes.
El defecto reside en la función de procesamiento de mensajes de radio de Cisco ISE. Los investigadores de seguridad de Cisco descubrieron la vulnerabilidad durante las pruebas de seguridad interna, y según el Equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco (PSIRT), no se ha observado explotación en la naturaleza.
Cisco ISE RADIUS DOS Vulnerabilidad
La vulnerabilidad es causada por el manejo inadecuado de ciertas solicitudes de radio por parte de la plataforma Cisco ISE.
Un defecto en esta implementación, clasificado como CWE-125 (Leer Off) permite a un atacante activar una recarga del sistema completo de los dispositivos ISE afectados.
Debido a que los servicios de radio están habilitados de forma predeterminada en las implementaciones de Cisco ISE, muchas organizaciones pueden volverse vulnerables a menos que usen TACACS+ exclusivamente para servicios de autenticación.
“Si el exploit es exitoso, un atacante puede volver a cargar en Cisco ISE”, dice el asesoramiento, destacando la posibilidad de interrupciones del servicio en las organizaciones que dependen del control de acceso a la red.
Esta vulnerabilidad afecta a Cisco ISE 3.4 y se ha encontrado que no es vulnerable antes de la versión 3.3.
El momento de esta divulgación plantea preocupación dada la reciente vulnerabilidad de “Blastrasius” descubierta a principios de este año en el protocolo Radius en sí, pero los dos problemas parecen ser irrelevantes.
Mientras que las vulnerabilidades anteriores explotaron las debilidades de la función de cifrado MD5 utilizada en Radius, este nuevo problema específico de Cisco se dirige a implementaciones del manejo de mensajes de radio dentro de ISE.
El proceso de explotación es simple y no requiere autenticación ni interacción del usuario.
Un atacante puede activar una vulnerabilidad enviando una solicitud de autenticación de radio especialmente creada a un dispositivo de acceso a la red (NAD) que utiliza los servicios de Cisco ISE para autenticación, autorización y contabilidad (AAA).
Las causas técnicas subyacentes incluyen cómo la plataforma ISE maneja los paquetes de radio. Cuando una solicitud de autenticación incorrecta llega al servidor ISE a través del NAD, desencadena una condición de manejo de excepción inapropiada que obliga a un proceso de radio completo a reiniciarse.
Esta vulnerabilidad es particularmente preocupante, ya que funciona utilizando características de protocolo que permiten que los ataques se realicen relativamente fácilmente utilizando el puerto UDP 1645/1812 para la autenticación y 1646/1813 para contabilidad.
La amplia adopción de radios como el protocolo AAA más común para el control de acceso a la red amplifica el impacto potencial en numerosas implementaciones empresariales.
Factores de riesgo Detalles AtextectectectExectect Cisco Identity Services Engine (ISE) 3.4 Servicio de autenticación de radio.
alivio
Cisco ha lanzado la versión de software fija ISE 3.4p1 para abordar la vulnerabilidad y es muy recomendable para parches inmediatos, ya que no hay solución.
Las organizaciones que usan Cisco ISE deben verificar su versión de implementación y actualizar los sistemas afectados a través del canal de actualización normal.
“Los clientes responsables de los contratos de servicio que califican para las actualizaciones regulares de software deben obtener correcciones de seguridad a través del canal de actualización regular”, aconseja Cisco en Security Bulletin.
Los expertos en seguridad recomiendan que las organizaciones tomen precauciones adicionales al implementar parches.
Implementar la segmentación de red para limitar la exposición. Monitoreo de registros de autenticación de radio para actividades sospechosas. Restringir temporalmente el acceso radial desde redes no confiables.
Las organizaciones que usan Cisco ISE solo para Tacacs+ no se ven afectadas por esta vulnerabilidad. Proporciona una alternativa de configuración potencial para entornos donde el parche inmediato no es posible.
El parche inmediato, el monitoreo de la vigilancia y el cumplimiento de las mejores prácticas de seguridad es esencial para mitigar las posibles amenazas.
¡Haz que esta noticia sea interesante! ¡Síganos en Google News, LinkedIn y X para obtener actualizaciones instantáneas!
