Menos de um mês após a divulgação de atualizações de segurança, hackers começaram a explorar ativamente falhas críticas no Cisco Identity Services Engine (ISE) e no ISE Passive Identity Connector (ISE-PIC).
As três vulnerabilidades, identificadas como CVE-2025-20281, CVE-2025-20282 e CVE-2025-20337, apresentam pontuação CVSS máxima (10/10) e colocam em risco a integridade de redes corporativas ao permitirem execução remota de código com privilégios de root, sem necessidade de autenticação.
Três falhas, um mesmo risco crítico
As falhas foram inicialmente divulgadas pela Cisco em 25 de junho de 2025. Na ocasião, a empresa alertou sobre os riscos de exploração remota em dispositivos ISE e ISE-PIC, destacando duas vulnerabilidades (CVE-2025-20281 e CVE-2025-20282). Posteriormente (em 16 de julho) a vulnerabilidade CVE-2025-20337 também foi adicionada ao aviso, elevando ainda mais o nível de criticidade do cenário.
Essas falhas afetam diferentes APIs dos produtos Cisco ISE, mas compartilham um problema comum: falta de validação adequada de entrada de dados e arquivos.
-
CVE-2025-20281 e CVE-2025-20337: Permitem que um invasor envie requisições manipuladas via API para executar comandos arbitrários como root.
-
CVE-2025-20282: Permite o upload de arquivos maliciosos em diretórios privilegiados do sistema, que depois podem ser executados com permissões elevadas.
A Cisco foi clara ao afirmar que essas falhas não dependem umas das outras. Ou seja, explorar qualquer uma delas já é suficiente para comprometer o sistema.
Dispositivos afetados e correções disponíveis
As vulnerabilidades atingem exclusivamente as versões 3.3 e 3.4 do Cisco ISE e ISE-PIC. Versões 3.2 e anteriores não são afetadas. O fabricante já disponibilizou as correções por meio dos seguintes patches:
-
3.3 Patch 7
-
3.4 Patch 2
Clientes que aplicaram apenas o Patch 6 da versão 3.3 ou hot patches anteriores devem atualizar imediatamente para as versões corrigidas, pois esses pacotes não contemplam todas as vulnerabilidades.
Exploração já começou: a urgência é real
Na última atualização de seu comunicado, feita em 21 de julho, a Cisco confirmou que ameaças ativas já estão mirando essas falhas em ambientes reais. Embora a empresa não tenha divulgado detalhes sobre os ataques detectados, a simples confirmação de exploração eleva o nível de urgência para as atualizações.
As falhas foram inicialmente reportadas à Cisco por pesquisadores do Trend Micro Zero Day Initiative, incluindo Bobby Gould e Kentaro Kawane. Isso reforça a importância da colaboração entre pesquisadores independentes e os fabricantes na proteção do ecossistema digital.
Conclusão
O Cisco ISE é uma peça crítica para o controle de identidade em ambientes corporativos. A exploração ativa dessas falhas mostra que os cibercriminosos estão atentos e rápidos em explorar brechas antes que as correções sejam amplamente aplicadas. Se sua organização utiliza versões afetadas, a atualização não é opcional — é essencial.
Para detalhes técnicos, instruções de atualização e links diretos para os patches, consulte o aviso oficial da Cisco.
About The Author
