Vulnerabilidades no Cisco Identity Services Engine, ISE Passive Identity Connector e Webex Services permitem execução de comandos, elevação de privilégio, negação de serviço e representação indevida de usuários em cenários específicos.
| Componente | Cisco Identity Services Engine, Cisco ISE Passive Identity Connector e integração SSO do Control Hub em Webex Services |
| Vetor | Requisições HTTP criadas para acionar validação insuficiente de entrada no ISE/ISE-PIC ou falha de validação de certificado na integração SSO do Webex |
| Impacto | Execução remota de código, execução de comandos no sistema operacional subjacente, elevação de privilégio para root, indisponibilidade de nó ISE único e representação indevida de usuários no Webex |
| Prioridade | Migrar instâncias afetadas para versões corrigidas e, para clientes Webex com SSO, carregar novo certificado SAML do provedor de identidade no Control Hub |
| Versões | CVE-2026-20147 afeta Cisco ISE ou ISE-PIC anteriores ao ramo 3.1; CVE-2026-20180 e CVE-2026-20186 afetam Cisco ISE anteriores ao ramo 3.2 |
| Artefatos | CVE-2026-20184, CVE-2026-20147, CVE-2026-20180 e CVE-2026-20186 |
A Cisco publicou correções para quatro vulnerabilidades críticas que atingem dois grupos de tecnologia: os componentes de identidade Cisco ISE e ISE-PIC, e a integração de autenticação única do Webex Services com o Control Hub. As falhas no ISE e no ISE-PIC envolvem validação insuficiente de dados fornecidos pelo usuário e permitem que um atacante remoto autenticado, em posse de credenciais administrativas válidas, envie requisições HTTP manipuladas para alcançar execução de código ou execução de comandos no sistema operacional subjacente do dispositivo afetado. O impacto descrito não se limita à aplicação: a exploração bem-sucedida pode conceder acesso em nível de usuário ao sistema operacional e, em seguida, permitir elevação de privilégio até root.
No Webex Services, a vulnerabilidade CVE-2026-20184, com pontuação CVSS 9.8, está associada à validação inadequada de certificado na integração de SSO com o Control Hub. O cenário permite que um atacante remoto não autenticado represente qualquer usuário dentro do serviço e obtenha acesso não autorizado a serviços legítimos do Cisco Webex. A falha é tratada no ambiente em nuvem e não exige instalação de atualização local pelo cliente, mas organizações que usam SSO devem renovar a relação de confiança operacional carregando um novo certificado SAML do provedor de identidade no Control Hub.
As falhas do ISE têm pontuação CVSS 9.9 e afetam caminhos administrativos distintos. A CVE-2026-20147 envolve Cisco ISE e ISE-PIC e requer credenciais administrativas válidas. Já CVE-2026-20180 e CVE-2026-20186 afetam Cisco ISE e podem ser acionadas por um atacante autenticado remotamente que possua credenciais administrativas somente leitura. Esse detalhe altera a avaliação de risco: contas consideradas de baixo impacto operacional, quando autorizadas a acessar funções administrativas de leitura, passam a fazer parte da superfície capaz de acionar execução de comandos no dispositivo afetado.
Nas vulnerabilidades de ISE e ISE-PIC, o ponto técnico central é a validação insuficiente de entrada fornecida pelo usuário em interfaces alcançáveis por requisições HTTP. O atacante precisa estar autenticado e possuir credenciais administrativas válidas, mas a exigência de permissão varia conforme a CVE. Na CVE-2026-20147, o pré-requisito é a posse de credenciais administrativas; em CVE-2026-20180 e CVE-2026-20186, o requisito informado é ainda mais sensível para governança de acesso, pois credenciais administrativas somente leitura bastam para acionar o caminho vulnerável. A exploração é descrita por envio de requisições HTTP criadas especificamente para alcançar execução no ambiente subjacente, sem necessidade de publicar comandos operacionais ou formato de payload.
Após a exploração bem-sucedida das falhas do ISE, o atacante pode obter acesso em nível de usuário ao sistema operacional e elevar privilégios para root. Em implantações de ISE com nó único, a exploração também pode tornar o nó indisponível e gerar negação de serviço. Nesse estado, endpoints que ainda não tenham se autenticado deixam de conseguir acessar a rede até que o nó seja restaurado. Para ambientes que dependem do ISE como ponto de decisão de acesso, essa condição pode impactar ingresso de endpoints, renovação de acesso e operação de segmentos que exigem autenticação antes de conectividade plena.
A falha do Webex tem natureza diferente. A CVE-2026-20184 decorre de validação imprópria de certificado na integração de SSO com Control Hub. A consequência técnica é a possibilidade de representação indevida de usuários dentro do serviço, com acesso não autorizado a recursos legítimos do Webex. Como o problema está no serviço em nuvem, a ação de correção não segue o ciclo de atualização de appliance local. A tarefa defensiva concreta para clientes que usam SSO é substituir o certificado SAML do provedor de identidade no Control Hub para restabelecer a confiança esperada na federação.
A superfície local afetada inclui Cisco ISE e Cisco ISE-PIC em ramos anteriores aos indicados para migração. Para CVE-2026-20147, a orientação é migrar Cisco ISE ou ISE-PIC anteriores ao ramo 3.1 para uma versão corrigida. Para CVE-2026-20180 e CVE-2026-20186, a orientação é migrar Cisco ISE anterior ao ramo 3.2 para uma versão corrigida. O dado relevante para inventário é a combinação entre produto, ramo instalado e exposição da interface administrativa acessível por HTTP a usuários com credenciais administrativas.
A superfície em nuvem envolve Webex Services com integração de SSO ao Control Hub. A falha não exige ação local de atualização do serviço, mas muda a prioridade de revisão para organizações que dependem de provedor de identidade federado. Como a consequência é representação indevida de usuários, a exposição deve ser analisada a partir de contas federadas, configuração SAML, trilhas de autenticação no Control Hub e sinais de acesso a serviços Webex incompatíveis com o comportamento esperado do usuário.
- Cisco ISE ou ISE-PIC anteriores ao ramo 3.1 no escopo de
CVE-2026-20147. - Cisco ISE anterior ao ramo 3.2 no escopo de
CVE-2026-20180eCVE-2026-20186. - Ambientes Webex Services que usam SSO integrado ao Control Hub e dependem de certificado SAML do provedor de identidade.
A investigação deve começar pelo mapeamento de contas administrativas no ISE, especialmente perfis com acesso somente leitura. Como duas das falhas aceitam esse nível de privilégio como pré-condição, a revisão de logs não deve se limitar a contas com permissão de escrita ou alteração de configuração. Eventos de autenticação administrativa, sessões iniciadas fora do padrão, requisições HTTP incomuns para funções administrativas e erros próximos a rotinas de validação de entrada devem ser correlacionados com mudanças de disponibilidade do nó, falhas de autenticação de endpoints e reinicializações inesperadas.
Em implantações de nó único, a indisponibilidade do ISE tem valor investigativo próprio. Uma janela em que endpoints novos não conseguem autenticar, combinada com atividade administrativa anômala antes da queda, deve ser tratada como evento de alta prioridade. A equipe de defesa também deve procurar sinais de execução de processos inesperados no sistema operacional subjacente quando essa telemetria estiver disponível, além de indícios de elevação de privilégio para root após acesso inicial em nível de usuário.
No Webex e no Control Hub, a telemetria relevante está ligada à federação SSO. A defesa deve revisar eventos de autenticação, uso de identidades, criação de sessões e acessos a serviços Webex que indiquem representação indevida. Mudanças no certificado SAML do provedor de identidade devem ser controladas, registradas e validadas com processo formal, pois a mitigação recomendada para clientes com SSO depende justamente do carregamento de um novo certificado no Control Hub.
- Sessões administrativas no ISE originadas de contas somente leitura antes de falhas, reinicializações ou indisponibilidade do nó.
- Requisições HTTP administrativas incomuns contra ISE ou ISE-PIC, principalmente próximas a erros de validação e mudanças de estado do serviço.
- Falhas de autenticação de endpoints em implantação ISE de nó único após atividade administrativa anômala.
- Eventos de SSO no Control Hub com acesso a Webex incompatível com o histórico do usuário ou com a política de identidade.
A resposta deve priorizar atualização e migração de versões afetadas. Instâncias de Cisco ISE ou ISE-PIC anteriores ao ramo 3.1, quando relacionadas à CVE-2026-20147, devem ser migradas para uma versão corrigida. Instâncias de Cisco ISE anteriores ao ramo 3.2, quando relacionadas a CVE-2026-20180 e CVE-2026-20186, também devem ser migradas para uma versão corrigida. Antes da mudança, é importante identificar se a implantação é de nó único, pois a indisponibilidade de um único nó pode impedir endpoints ainda não autenticados de acessar a rede.
A contenção temporária deve focar redução de exposição administrativa, revisão de contas e validação de necessidade de acesso. Contas administrativas somente leitura não devem ser tratadas como irrelevantes para risco de execução de comandos, já que duas falhas citadas podem ser exploradas com esse nível de credencial. Restringir caminhos administrativos por rede de gestão, revisar sessões ativas, remover acessos desnecessários e acompanhar logs de autenticação são medidas compatíveis com o impacto descrito, sem substituir a migração para versões corrigidas.
Para Webex Services com SSO, a ação indicada é carregar um novo certificado SAML do provedor de identidade no Control Hub. Após a troca, a organização deve validar autenticação federada, criação de sessão e acesso aos serviços Webex com contas de teste controladas. A revisão posterior deve confirmar que o certificado anterior deixou de ser aceito no fluxo esperado e que não há eventos recentes sugerindo representação indevida de usuários.
- Inventariar versões de Cisco ISE e ISE-PIC e priorizar migração de ramos afetados para versões corrigidas.
- Revisar contas administrativas, incluindo perfis somente leitura, e remover permissões que não sejam necessárias.
- Restringir acesso às interfaces administrativas do ISE e ISE-PIC a redes de gestão controladas.
- Em Webex com SSO, carregar novo certificado SAML do provedor de identidade no Control Hub e validar o fluxo federado.
- Monitorar disponibilidade de nós ISE e falhas de autenticação de endpoints após a janela de correção.
0 Comentários