Uma grave vulnerabilidade de autenticação no Cisco Identity Services Engine (ISE) ameaça ambientes em nuvem na AWS, Azure e Oracle Cloud Infrastructure, colocando dados e operações críticas em risco.
Falha crítica no Cisco ISE permite acesso não autorizado em implantações na nuvem
Vulnerabilidade no Cisco ISE expõe instâncias em nuvem a invasores
O Cisco Identity Services Engine (ISE), amplamente utilizado para controle de acesso em redes corporativas, foi alvo de uma falha crítica identificada como CVE-2025-20286, com pontuação CVSS de 9,9, praticamente no topo da escala de gravidade. A falha de autenticação afeta especificamente implantações em nuvem nas plataformas AWS, Microsoft Azure e Oracle Cloud Infrastructure (OCI), e pode permitir que agentes não autenticados acessem dados sensíveis, executem operações administrativas limitadas e até causem interrupções de serviço.
Segundo comunicado oficial da Cisco, a falha está associada ao uso de credenciais estáticas geradas incorretamente durante a implantação do ISE em ambientes de nuvem. Isso faz com que instâncias diferentes, mas com a mesma versão e plataforma, compartilhem as mesmas credenciais, criando um cenário perigoso de reutilização de senhas.
Como a falha funciona e o que está em risco
A falha foi descoberta por Kentaro Kawane, da GMO Cybersecurity, e embora não haja indícios de exploração ativa, a existência de uma prova de conceito (PoC) já é suficiente para acender o alerta em equipes de segurança.
O erro ocorre porque, ao implantar o Cisco ISE em nuvem, o sistema gera credenciais que não são únicas por instância. Por exemplo, todas as instâncias da versão 3.1 do Cisco ISE na AWS compartilham as mesmas credenciais estáticas. O mesmo vale para outras versões:
- AWS: versões 3.1, 3.2, 3.3 e 3.4
- Azure: versões 3.2, 3.3 e 3.4
- OCI: versões 3.2, 3.3 e 3.4
Esse padrão cria um vetor para ataques laterais entre ambientes distintos. Um invasor que obtiver as credenciais de uma instância em uma determinada plataforma pode utilizá-las para acessar outras instâncias semelhantes, desde que estejam na mesma versão e provedor.
Vale destacar que apenas nós de Administração Primária implantados na nuvem são afetados. Instâncias locais não compartilham essa vulnerabilidade.
Medidas de mitigação recomendadas pela Cisco
Até o momento, não há soluções alternativas definitivas para a falha. No entanto, a Cisco sugere duas ações paliativas para mitigar o risco:
- Restringir o tráfego apenas a administradores autorizados.
- Executar o comando
application reset-config ise, que redefine a configuração e as senhas do Cisco ISE para os padrões de fábrica.
A segunda ação, no entanto, é disruptiva e deve ser aplicada com cautela, já que reconfigura completamente a instância afetada.
Contexto e impacto no ecossistema de segurança
Essa vulnerabilidade evidencia uma fragilidade comum em sistemas legados adaptados para a nuvem: a ausência de práticas robustas de geração e gerenciamento de credenciais dinâmicas. Com a popularização dos serviços híbridos e multi-cloud, brechas como essa podem ter impacto sistêmico, afetando desde a segurança da rede até a conformidade com regulações como a LGPD e o GDPR.
A exploração dessa falha permitiria que atacantes acessassem dados de autenticação, realizassem modificações em configurações críticas e interrompessem serviços essenciais — um risco especialmente alto em ambientes corporativos de missão crítica.
Conclusão
A CVE-2025-20286 é um alerta para todos os administradores que operam o Cisco ISE em nuvem: a negligência na geração de credenciais pode ser catastrófica. Com a pontuação quase máxima em criticidade, a vulnerabilidade exige atenção imediata. A recomendação é aplicar os patches fornecidos pela Cisco, reconfigurar os sistemas conforme necessário e reforçar o controle de acesso e segmentação de rede até que uma mitigação completa esteja disponível.
