Uma vulnerabilidade crítica de execução remota de código (RCE) foi identificada no Cisco Identity Services Engine (ISE), classificada com a pontuação máxima de 10.0 na escala CVSS. A falha, registrada como CVE-2025-20337, representa um risco extremo para a segurança de redes corporativas, permitindo que atacantes não autenticados comprometam completamente o sistema, incluindo a obtenção de acesso root.
Este artigo tem como objetivo alertar e instruir administradores de sistemas, profissionais de TI e especialistas em cibersegurança sobre os riscos associados a essa falha, quais versões do Cisco ISE estão vulneráveis, os detalhes técnicos da exploração e como aplicar as correções urgentes. Entender e reagir prontamente a essa vulnerabilidade pode ser a diferença entre manter a integridade da rede ou sofrer um ataque devastador.
O que é a vulnerabilidade CVE-2025-20337?
A CVE-2025-20337 é uma falha do tipo execução remota de código (RCE) que decorre de uma validação de entrada insuficiente em uma API do Cisco ISE. Em termos simples, o sistema não verifica corretamente os dados recebidos por meio dessa interface, o que permite que um invasor envie comandos maliciosos disfarçados como solicitações legítimas.
O impacto é devastador: um atacante remoto e não autenticado pode explorar essa falha para armazenar arquivos arbitrários no sistema, executar comandos maliciosos e, finalmente, escalar privilégios até obter controle root. Isso significa controle total sobre o sistema, incluindo a possibilidade de desativar mecanismos de segurança, movimentar-se lateralmente pela rede e comprometer dados críticos da organização.
Quem está em risco? Versões afetadas e correções
Dispositivos e versões vulneráveis
As seguintes versões do Cisco ISE e ISE-PIC estão vulneráveis à CVE-2025-20337:
- Cisco ISE 3.3
- Cisco ISE-PIC 3.3
- Cisco ISE 3.4
- Cisco ISE-PIC 3.4
É importante destacar que as versões 3.2 e anteriores não são afetadas por essa vulnerabilidade.
Ação imediata: Os patches que corrigem a falha
A única solução eficaz é aplicar os patches específicos disponibilizados pela Cisco. Não há soluções alternativas (workarounds) reconhecidas pela empresa.
- Para usuários da versão 3.3, é necessário atualizar para o ISE 3.3 Patch 7.
- Para usuários da versão 3.4, a correção está no ISE 3.4 Patch 2.
A Cisco reforça que a falha não pode ser mitigada de outra forma. A aplicação dos patches deve ser feita o quanto antes, preferencialmente em uma janela de manutenção programada, para minimizar riscos operacionais.
Atenção: Patches anteriores não protegem contra esta nova falha
A vulnerabilidade CVE-2025-20337 foi adicionada recentemente a um boletim de segurança da Cisco que já abrangia outras duas falhas sérias: CVE-2025-20281 e CVE-2025-20282. Isso pode levar à falsa impressão de que sistemas já atualizados contra essas falhas estão protegidos.
Alerta importante: Mesmo que sua organização já tenha aplicado os patches para as falhas anteriores, isso não é suficiente. Somente os patches 3.3p7 e 3.4p2 corrigem a CVE-2025-20337.
Portanto, se o seu ambiente ainda está com os patches 3.3p6 ou 3.4p1, você continua vulnerável e deve atualizar novamente com urgência.
Outras vulnerabilidades recentes da Cisco que merecem atenção
O comunicado de segurança da Cisco também destaca outras falhas significativas, que merecem atenção dos administradores de rede:
- CVE-2025-20274: Possível escalonamento de privilégios via falha em serviços internos.
- CVE-2025-20272: Exposição de informações sensíveis por meio de API não segura.
- CVE-2025-20281: RCE com autenticação, agora integrada ao mesmo boletim da CVE-2025-20337.
- CVE-2025-20282: Condição de negação de serviço (DoS) explorável por usuários autenticados.
Essas falhas, quando somadas à CVE-2025-20337, demonstram um aumento preocupante no número de vulnerabilidades críticas envolvendo o Cisco ISE, exigindo uma postura proativa de atualização contínua e monitoramento.
Conclusão: Não espere, atualize seu sistema agora
A vulnerabilidade CVE-2025-20337 representa um dos piores cenários possíveis em segurança de rede: um ataque fácil de executar, que dispensa autenticação e concede acesso total ao sistema. O alvo é o Cisco ISE, uma plataforma fundamental para políticas de acesso e controle de rede em ambientes corporativos.
A recomendação é clara e urgente: se sua organização utiliza o Cisco ISE nas versões 3.3 ou 3.4, a hora de agir é agora. Verifique imediatamente a versão instalada, planeje uma janela de atualização e aplique os patches 3.3 Patch 7 ou 3.4 Patch 2. Não adiar essa ação pode abrir as portas para ataques severos e comprometimento da infraestrutura de TI.
