Cisco ha lanzado actualizaciones de seguridad para corregir una vulnerabilidad de gravedad media que afecta a Cisco Identity Services Engine (ISE) y Cisco ISE Passive Identity Connector (ISE-PIC), la cual ya cuenta con un exploit de prueba de concepto (PoC) disponible públicamente. La falla, identificada como CVE-2026-20029 y con una puntuación CVSS de 4,9, pone en evidencia debilidades en la gestión de licencias de estas plataformas ampliamente utilizadas en entornos empresariales.
Aunque Cisco ha indicado que no existen evidencias de explotación activa en la naturaleza, la disponibilidad de código funcional incrementa el riesgo, especialmente en infraestructuras donde los sistemas no se actualizan con regularidad o donde las credenciales administrativas podrían verse comprometidas.
Detalles técnicos de la vulnerabilidad CVE-2026-20029
De acuerdo con el aviso oficial de Cisco, la vulnerabilidad se origina en un análisis incorrecto de archivos XML procesados por la interfaz de administración web tanto de Cisco ISE como de ISE-PIC. Un atacante remoto que ya cuente con credenciales administrativas válidas podría explotar esta debilidad cargando un archivo malicioso especialmente diseñado.
Una explotación exitosa permitiría al atacante leer archivos arbitrarios del sistema operativo subyacente, una acción que, según Cisco, debería estar explícitamente prohibida incluso para usuarios con privilegios administrativos. Este tipo de acceso puede facilitar la obtención de información sensible, como configuraciones internas, credenciales almacenadas o detalles del sistema que podrían emplearse para ataques posteriores.
La falla fue descubierta y reportada responsablemente por Bobby Gould, investigador de la Iniciativa Trend Micro Zero Day, lo que permitió a Cisco desarrollar y distribuir parches antes de que se registraran abusos a gran escala.
Versiones afectadas y parches disponibles
Cisco confirmó que la vulnerabilidad CVE-2026-20029 afecta a múltiples versiones de ISE e ISE-PIC, detallando las siguientes recomendaciones oficiales:
-
Cisco ISE o ISE-PIC versiones anteriores a 3.2
→ Migrar a una versión corregida -
Cisco ISE o ISE-PIC versión 3.2
→ Actualizar a 3.2 Parche 8 -
Cisco ISE o ISE-PIC versiones 3.3
→ Actualizar a 3.3 Parche 8 -
Cisco ISE o ISE-PIC versión 3.4
→ Actualizar a 3.4 Parche 4 -
Cisco ISE o ISE-PIC versión 3.5
→ No vulnerable
La compañía enfatizó que no existen soluciones alternativas o mitigaciones temporales, por lo que la única forma de corregir el problema es aplicar las actualizaciones oficiales. Cisco también confirmó que está al tanto de la existencia de un exploit PoC, lo que refuerza la urgencia de aplicar los parches.
Correcciones adicionales: vulnerabilidades en Snort 3
De forma paralela, Cisco publicó actualizaciones para otros dos fallos de gravedad media que afectan al Motor de Detección Snort 3, derivados del procesamiento de solicitudes DCE/RPC (Distributed Computing Environment / Remote Procedure Call).
Estas vulnerabilidades podrían ser explotadas por un atacante remoto no autenticado, con impacto directo en la confidencialidad y disponibilidad de los sistemas afectados:
-
CVE-2026-20026 (CVSS 5,8)
Vulnerabilidad de denegación de servicio (DoS) que puede provocar el reinicio del motor Snort 3 -
CVE-2026-20027 (CVSS 5,3)
Vulnerabilidad de divulgación de información, que podría permitir la filtración de datos sensibles del sistema
Ambas fallas fueron reportadas por Guy Lederfein, investigador de Trend Micro, y afectan a una amplia gama de productos Cisco donde Snort 3 esté habilitado.
Productos Cisco impactados por los fallos en Snort 3
Cisco confirmó que las vulnerabilidades DCE/RPC afectan a los siguientes entornos:
-
Cisco Secure Firewall Threat Defense (FTD), cuando Snort 3 está configurado
-
Cisco IOS XE Software
-
Cisco Meraki Software
En escenarios empresariales, estas vulnerabilidades podrían ser utilizadas para interrumpir servicios críticos de seguridad, degradar la visibilidad de amenazas o facilitar ataques posteriores aprovechando la indisponibilidad temporal de los sistemas de detección.
Riesgo operativo y contexto de amenazas
Las vulnerabilidades en productos Cisco son objetivos frecuentes de actores maliciosos, incluidos grupos APT y operadores de ransomware, debido a la amplia adopción de estas soluciones en redes corporativas, gubernamentales y de proveedores de servicios. Incluso fallos catalogados como de gravedad media pueden convertirse en vectores críticos cuando se combinan con credenciales comprometidas, configuraciones débiles o retrasos en la aplicación de parches.
La presencia de un exploit PoC público, aunque no se haya observado explotación activa, reduce la barrera de entrada para atacantes con menos capacidades técnicas y aumenta la probabilidad de abuso en entornos mal protegidos.
Recomendaciones de seguridad
Ante este escenario, Cisco y los expertos en ciberseguridad recomiendan:
-
Actualizar inmediatamente a las versiones corregidas
-
Auditar el acceso administrativo a Cisco ISE e ISE-PIC
-
Supervisar logs y actividades anómalas en la interfaz web
-
Revisar configuraciones de Snort 3 en productos afectados
-
Implementar principios de mínimo privilegio y segmentación de red
En fin…
La publicación de parches para CVE-2026-20029 y las vulnerabilidades en Snort 3 refuerza la importancia de una gestión proactiva de vulnerabilidades en infraestructuras críticas. Aunque Cisco no ha detectado explotación activa, la disponibilidad de exploits públicos, sumada al historial de ataques dirigidos contra productos de la compañía, convierte estas actualizaciones en una prioridad inmediata para organizaciones de todos los tamaños.
Mantener los sistemas actualizados no solo reduce la superficie de ataque, sino que también protege la continuidad operativa y la integridad de la red, elementos clave en un panorama de amenazas cada vez más agresivo y sofisticado.
Fuente: The Hacker News
