Severidade máxima: hackers exploram falhas na Cisco para invadir redes

A Cisco emitiu um alerta de segurança urgente confirmando que três vulnerabilidades críticas de execução remota de código em seu Identity Services Engine (ISE) estão sendo ativamente exploradas por cibercriminosos em ataques reais. As falhas, todas classificadas com nível máximo de severidade no sistema CVSS, permitem que atacantes obtenham controle administrativo completo de sistemas e redes inteiras sem necessidade de qualquer tipo de autenticação.

• Usa VPN? Falha neste cliente pode ter vazado o seu endereço IP
• Dell confirma ataque hacker e roubo de dados de plataforma de testes

A situação é alarmante porque o Cisco ISE desempenha papel central na segurança de redes corporativas, funcionando como o principal ponto de controle de acesso e aplicação de políticas de segurança. Uma compromisso bem-sucedido dessa plataforma pode conceder aos atacantes visibilidade e controle extensivos sobre toda a infraestrutura de rede, transformando um sistema de proteção em uma porta de entrada para invasores.

A confirmação de exploração ativa, revelada pela equipe de resposta a incidentes de segurança da Cisco (PSIRT) em julho de 2025, eleva consideravelmente a urgência da situação. Embora a empresa não tenha divulgado detalhes sobre a metodologia específica dos ataques ou sua taxa de sucesso, a simples confirmação de que as vulnerabilidades estão sendo exploradas em ambiente de produção é um risco crítico para corporações que dependem da plataforma para proteger suas redes.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

Vulnerabilidades permitem controle total de redes

O Cisco Identity Services Engine é uma plataforma de controle de acesso à rede amplamente utilizada por grandes organizações para gerenciar autenticação de usuários e dispositivos, além de implementar políticas de segurança centralizadas. O sistema atua como guardião digital, determinando quais usuários e dispositivos podem acessar recursos específicos da rede e sob quais condições. Essa posição estratégica torna qualquer comprometimento do ISE devastador para a segurança corporativa.

As três vulnerabilidades representam diferentes vetores de ataque, mas compartilham uma característica crítica comum: todas podem ser exploradas por atacantes remotos sem qualquer necessidade de credenciais ou autenticação prévia.

A primeira falha, catalogada como CVE-2025-20281, permite execução remota de código através de validação insuficiente de dados fornecidos pelo usuário em uma API específica do sistema. Atacantes podem explorar essa vulnerabilidade enviando requisições de API especialmente elaboradas que, devido à falta de sanitização adequada dos dados de entrada, permitem a execução de comandos com privilégios de root no sistema operacional subjacente.

A CVE-2025-20282, que afeta exclusivamente a versão 3.4 do ISE, apresenta um vetor de ataque preocupante: permite o upload e execução de arquivos maliciosos sem autenticação. A vulnerabilidade existe devido à ausência de verificações adequadas de validação de arquivos, deixando que atacantes coloquem arquivos maliciosos em diretórios privilegiados do sistema e posteriormente os executem com permissões administrativas.

A terceira vulnerabilidade, CVE-2025-20337, representa outra falha de execução remota de código sem autenticação, explorável através de requisições de API malformadas. Assim como a CVE-2025-20281, essa falha decorre de validação inadequada de dados de entrada, mas afeta diferentes componentes da API, garantindo aos atacantes múltiplas rotas para obter acesso root sem credenciais.

“Um atacante pode explorar essas vulnerabilidades enviando uma requisição de API elaborada”, explica a Cisco em seu comunicado oficial. “Uma exploração bem-sucedida pode permitir que o atacante obtenha privilégios de root em um dispositivo afetado”.

Solução para resolver o problema

A Cisco confirmou oficialmente a existência dessas vulnerabilidades em dois momentos distintos: as falhas CVE-2025-20281 e CVE-2025-20282 foram inicialmente divulgadas em 25 de junho de 2025, enquanto a CVE-2025-20337 foi revelada posteriormente, em 16 de julho de 2025. A confirmação de exploração ativa chegou no mesmo mês, quando a equipe PSIRT da empresa “tomou conhecimento de tentativas de exploração de algumas dessas vulnerabilidades” em ambiente real.

Diante da severidade das falhas e da confirmação de exploração ativa, não existem soluções paliativas ou contornos temporários que possam mitigar o risco. A aplicação imediata das atualizações de segurança é a única forma efetiva de proteção contra esses ataques.

Para organizações que executam o ISE versão 3.3, a Cisco recomenda atualização imediata para o Patch 7, que corrige todas as vulnerabilidades aplicáveis a essa versão. Usuários da versão 3.4 devem migrar para o Patch 2, que inclui correções abrangentes para as três falhas identificadas.

A empresa também alertou especificamente sobre patches intermediários que se mostraram inadequados:

“Se o Cisco ISE possui qualquer um dos hot patches ise-apply-CSCwo994493.3.0.430patch4-SPA.tar.gz ou ise-apply-CSCwo994493.4.0.608patch1-SPA.tar.gz instalados, a Cisco recomenda atualização para Release 3.3 Patch 7 ou Release 3.4 Patch 2”.

Esses patches temporários não abordam a vulnerabilidade CVE-2025-20337 e foram retirados de distribuição.

Organizações que executam versões 3.2 ou anteriores do ISE não são afetadas por essas vulnerabilidades específicas e não necessitam de ação imediata. No entanto, dado o papel crítico do ISE na infraestrutura de segurança e a natureza das falhas descobertas, a Cisco enfatiza que “continua a recomendar fortemente que os clientes atualizem para uma versão de software corrigida para remediar essas vulnerabilidades”.

Leia mais no Canaltech

• Microsoft confirma ataque ao SharePoint e libera atualização urgente
• Veo3 pode ser usado para enganar sistemas de reconhecimento facial
• Hackers estão usando técnica sofisticada para espalhar malware via DNS

Leia a matéria no Canaltech.