- Numerosas vulnerabilidades críticas en Cisco permiten RCE, bypass de autenticación y compromiso total de sistemas clave como ISE, FMC, ASA/FTD, IOS XE y AsyncOS.
- La mayoría de los fallos carecen de workarounds efectivos, por lo que aplicar rápidamente los parches de Cisco y limitar el acceso administrativo es esencial.
- Grupos como Interlock Ransomware y APTs estatales (UAT-9686, UAT4356) ya explotan varios de estos CVEs en ataques reales.
- Combinar actualización continua, auditorías de seguridad, monitorización avanzada e IA reduce considerablemente el riesgo de explotación.
Las actualizaciones críticas para corregir vulnerabilidades en productos Cisco se han convertido en el pan de cada día para muchas empresas. En los últimos meses se ha encadenado una sucesión de fallos graves que afectan a routers, firewalls, controladores inalámbricos, soluciones de identidad, plataformas de colaboración y hasta al propio sistema operativo de correo seguro de la marca. Si administras redes o infraestructuras con Cisco, ignorar estos avisos no es una opción: hablamos de vectores que permiten ejecución remota de código, bypass de autenticación y compromiso total de sistemas clave.
Este escenario deja claro que la seguridad ya no va solo de poner un firewall y cruzar los dedos. Hace falta un enfoque continuo: aplicar parches con rapidez, desplegar servicios de ciberseguridad especializados, auditar configuraciones, reforzar la monitorización y, cuando toca, apoyarse en tecnologías como la nube o la inteligencia artificial para detectar comportamientos raros antes de que sea tarde. A lo largo de este artículo vamos a repasar de forma muy detallada las principales vulnerabilidades críticas recientes en Cisco, los productos afectados, su impacto real y qué medidas mínimas deberías estar tomando.
Por qué las vulnerabilidades críticas de Cisco son ahora un riesgo tan elevado
La oleada de fallos críticos en Cisco demuestra que los atacantes buscan, cada vez más, eslabones débiles en componentes de gestión y control de las redes. No estamos hablando de servicios marginales, sino de plataformas como Cisco ISE, Secure Firewall Management Center, Unified Communications Manager, AsyncOS, WLCs con IOS XE o controladores SD-WAN, que actúan como cerebro o puerta de entrada de buena parte de la infraestructura corporativa.
Muchas de estas vulnerabilidades tienen en común que permiten ataques remotos sin necesidad de credenciales válidas, o bien requieren privilegios relativamente bajos para escalar rápidamente hasta root. En algunos casos, la explotación permite tomar el control del plano de control de la red (SD‑WAN, firewalls, ASA/FTD, controladores inalámbricos), interceptar tráfico o desactivar otras defensas.
La presión para parchear es cada vez mayor: informes como el DBIR 2025 y Mandiant M‑Trends 2025 señalan que los exploits de vulnerabilidades siguen siendo el vector inicial de ataque más habitual, con cerca de un tercio de las brechas analizadas iniciadas por la explotación de fallos en software expuesto. Este contexto hace que las vulnerabilidades zero‑day y las de criticidad máxima en Cisco se conviertan en un caramelo para grupos de ransomware y APTs estatales.
Servicios de ciberseguridad, desarrollo a medida y cloud para mitigar el riesgo
Ante este panorama, muchas organizaciones están apostando por servicios de ciberseguridad gestionada y auditorías periódicas que les permitan ir un paso por delante. Firmas como Q2BSTUDIO plantean un enfoque integral: revisiones técnicas de la infraestructura, análisis de configuración, detección de brechas, pruebas de penetración y acompañamiento en la implantación de medidas correctivas antes de que las vulnerabilidades se conviertan en incidentes reales.
Un factor clave es el desarrollo de software a medida con seguridad incorporada. Cuando las aplicaciones corporativas se diseñan siguiendo buenas prácticas (validación de inputs, gestión robusta de sesiones, autenticación fuerte, control de permisos, cifrado adecuado), se reduce la superficie de ataque global. Q2BSTUDIO combina el desarrollo personalizado con controles de seguridad por defecto, de forma que las soluciones no solo cumplan con las necesidades de negocio, sino que resistan mejor intentos de explotación similares a los que afectan a productos comerciales.
Otro pilar es la transformación digital basada en servicios cloud como AWS o Azure, donde se pueden desplegar arquitecturas más resilientes, segmentadas y fáciles de actualizar. El uso de servicios gestionados, WAFs, balanceadores inteligentes y sistemas de monitorización integrados permite acortar el tiempo entre la publicación de un parche y su aplicación efectiva en producción.
La inteligencia artificial también está cogiendo protagonismo. Plataformas con agentes de IA capaces de analizar patrones anómalos permiten detectar explotación de vulnerabilidades a partir de logs, telemetría de red o eventos en tiempo real. Soluciones como SOC Prime Platform, con reglas Sigma alineadas con MITRE ATT&CK y enriquecidas con inteligencia de amenazas, facilitan a los equipos de seguridad identificar intentos de explotación de CVEs concretos en Cisco y otros fabricantes.
Vulnerabilidades críticas en Cisco Unified CM, IM&P y Webex Calling
Una de las vulnerabilidades reseñables es CVE-2026-20045, un fallo de ejecución remota de código que afecta a componentes como Cisco Unified Communications Manager (Unified CM), Unified CM Session Management Edition (SME), Unified CM IM & Presence (IM&P), Cisco Unity Connection y la instancia dedicada de Webex Calling.
El problema se origina en una validación deficiente de los datos de entrada en solicitudes HTTP hacia la interfaz web de administración. Un atacante remoto no autenticado puede enviar peticiones maliciosas que desencadenen la ejecución de comandos arbitrarios en el sistema operativo subyacente, obteniendo control total sobre el dispositivo si el ataque tiene éxito.
En este caso, la única medida realmente efectiva es instalar las actualizaciones de software publicadas por Cisco. No se han definido workarounds viables, de modo que cualquier despliegue sin parche constituye un riesgo considerable, especialmente si la interfaz de administración es accesible desde redes menos confiables o desde Internet.
Fallos críticos en Cisco Catalyst SD‑WAN Controller y Manager
Otra vulnerabilidad de máxima gravedad es CVE-2026-20127, que golpea al ecosistema Cisco Catalyst SD‑WAN Controller y SD‑WAN Manager (antes vSmart y vManage). Este fallo de validación en el proceso de autenticación permite a un atacante remoto sin credenciales válidas saltarse completamente el login y obtener privilegios administrativos totales.
La raíz del problema está en una implementación incorrecta de la verificación de solicitudes entrantes a los componentes de gestión. El sistema puede aceptar peticiones manipuladas sin comprobar de manera estricta si el usuario está autenticado, permitiendo que el atacante actúe como si tuviera una sesión legítima y con permisos elevados.
El impacto es especialmente preocupante: el atacante podría modificar configuraciones, alterar políticas de enrutamiento, crear cuentas nuevas o redirigir tráfico, comprometiendo la integridad y disponibilidad de la infraestructura SD‑WAN. Dado que afecta tanto a despliegues on‑premise como a nubes SD‑WAN alojadas y gestionadas por Cisco (incluyendo entornos FedRAMP), la superficie de exposición es muy amplia.
Las recomendaciones oficiales pasan por actualizar el software a versiones corregidas, limitar el acceso administrativo a redes de confianza, proteger los componentes de control con dispositivos de filtrado, vigilar registros web en busca de actividad anómala y deshabilitar HTTP y servicios no necesarios en la interfaz de administración. Tampoco hay workarounds completos, por lo que el parche es prioritario.
Ejecución remota de código en Cisco Secure FMC y fallos relacionados
En el ámbito de la gestión de firewalls, varias vulnerabilidades han golpeado a Cisco Secure Firewall Management Center (FMC), un componente crítico que centraliza la administración de firewalls en muchas redes empresariales.
Por un lado, CVE-2026-20131 es un fallo de deserialización insegura en la interfaz web de Cisco Secure FMC y Cisco Security Cloud Control (SCC). La aplicación recibe objetos serializados que no se validan correctamente antes de deserializarse, permitiendo que un atacante remoto sin autenticación envíe objetos maliciosos que acaban ejecutando comandos como root.
Esta vulnerabilidad tiene impacto máximo (CVSS 10) y se ha reportado como explotada por Interlock Ransomware, lo que implica riesgo real de compromiso total del dispositivo, modificación de políticas de seguridad, robo de información sensible o interrupción completa de la infraestructura de firewall.
Por otro lado, CVE-2025-20265 es una vulnerabilidad crítica en Secure FMC (versiones 7.0.7 y 7.7.0) cuando está habilitada la autenticación RADIUS. Mediante el envío de datos maliciosos durante el proceso de autenticación RADIUS (desde la web o por SSH), un atacante remoto no autenticado puede lograr ejecución de comandos con privilegios elevados, de nuevo con CVSS 10.
En este caso, Cisco ha publicado parches y recomienda desactivar temporalmente RADIUS y usar cuentas locales, LDAP o SAML SSO mientras se actualiza. En ambos escenarios, la ausencia de workarounds estructurales refuerza la necesidad de tener una estrategia de parcheo ágil y un buen control de acceso a las consolas de gestión.
Vulnerabilidades graves en Cisco ISE e ISE‑PIC
Cisco Identity Services Engine (ISE) y su componente ISE‑PIC han sido uno de los productos más afectados por cadenas de vulnerabilidades de ejecución remota de código. Estas plataformas son el corazón del control de acceso a la red, por lo que su compromiso tiene consecuencias muy serias.
Las vulnerabilidades CVE‑2025‑20281 y CVE‑2025‑20282, que afectan a Cisco ISE y ISE‑PIC en versiones 3.3 y 3.4, permiten RCE sin autenticación con privilegios de root a través de APIs expuestas. La primera se debe a validación insuficiente de entrada en una API concreta, mientras que la segunda aprovecha la falta de verificación adecuada de ficheros subidos a una API interna, permitiendo subir archivos a directorios privilegiados y ejecutarlos como root.
Para mitigarlas, Cisco exige actualizar a ISE 3.3 con Patch 6 o ISE 3.4 con Patch 2, y reiniciar servicios para asegurarse de que no persisten procesos maliciosos. No existe solución alternativa fiable, de modo que operar versiones sin parche supone un alto riesgo.
A estas se suma CVE-2025-20337, otra vulnerabilidad crítica (CVSS 10) en ISE 3.3 y 3.4, derivada de falta de saneamiento de datos en una API administrativa basada en Linux. Peticiones HTTP manipuladas pueden lograr que el backend ejecute comandos directamente como root. Cisco corrige este fallo en el parche 7 de la 3.3 y el parche 2 de la 3.4, insistiendo en mantener los sistemas siempre en la última actualización disponible para reducir la ventana de exposición.
Problemas de validación e inyección de comandos en Cisco ISE y Webex
Dentro del mismo ecosistema, otras vulnerabilidades de alta criticidad ilustran el patrón recurrente de validación de inputs deficiente and gestión insegura de tokens. La vulnerabilidad CVE-2026-20147 afecta a Cisco ISE e ISE Passive Identity Connector (ISE‑PIC) y permite inyección de comandos a través de solicitudes HTTP mal filtradas por la interfaz de administración.
Este fallo requiere que el atacante disponga de credenciales administrativas válidas, pero una vez autenticado puede inyectar comandos que se ejecutan en el sistema operativo del dispositivo. A pesar de necesitar login, sigue considerándose crítico por el impacto y la posibilidad de que cuentas administrativas se vean comprometidas en fases anteriores de una intrusión.
La vulnerabilidad CVE-2026-20180 también afecta a Cisco ISE, permitiendo inyección de comandos desde la interfaz de gestión cuando un atacante autenticado (incluso con permisos de administrador solo lectura) envía peticiones HTTP especialmente diseñadas. Esto facilita el acceso inicial a nivel de usuario, seguido de escalada a root y, en entornos de nodo único, incluso denegación de servicio completa del sistema de autenticación.
Por último, CVE-2026-20186 reproduce un patrón similar: entradas del usuario mal validadas en determinadas peticiones HTTP hacia la interfaz del sistema, que pueden incluir comandos del sistema operativo. Un atacante con credenciales administrativas en modo lectura puede explotar esto para ejecutar instrucciones en el sistema subyacente, formando parte de cadenas de ataque más amplias.
En el terreno de la colaboración, la vulnerabilidad CVE-2026-20184 golpea a los servicios de Cisco Webex, en concreto a la autenticación SSO integrada en el Control Hub. Se trata de una validación incorrecta de certificados (CWE‑295) durante el proceso de autenticación federada, permitiendo a un atacante remoto falsificar tokens SSO para suplantar identidades, incluso de administradores, sin necesidad de interacción del usuario.
Zero‑day en Cisco IOS / IOS XE y SNMP (CVE-2025-20352)
Una vulnerabilidad especialmente preocupante es CVE-2025-20352, un zero‑day crítico en dispositivos que ejecutan Cisco IOS e IOS XE con SNMP habilitado, incluyendo productos como Meraki MS390 y switches Catalyst 9300 con Meraki CS 17 o anterior. El fallo, con CVSS 7.7 pero impacto real elevado, se basa en un desbordamiento de búfer basado en pila en el subsistema SNMP.
Un atacante remoto autenticado puede enviar paquetes SNMP especialmente diseñados por IPv4 o IPv6 para provocar ataques de Denegación de Servicio (DoS) o ejecución remota de código, siempre que se cumplan determinadas condiciones: para DoS basta con contar con una cadena de comunidad SNMPv2c de solo lectura o credenciales SNMPv3; para RCE hacen falta además credenciales administrativas en el dispositivo.
Cisco confirmó explotación activa de este fallo aprovechando credenciales locales de administrador robadas, y que afecta a todas las versiones de SNMP si no se han excluido ciertos Object IDs vulnerables. Como mitigaciones temporales se recomiendan restringir el acceso SNMP a usuarios y redes de confianza, monitorizar con el comando show snmp host y, si es necesario, deshabilitar los Object IDs afectados, aunque esto pueda impactar la gestión basada en SNMP.
La solución definitiva consiste en actualizar a IOS XE Release 17.15.4a o versiones posteriores, cerrando la puerta a este vector de ataque y reduciendo el riesgo de que grupos maliciosos aprovechen el zero‑day en campañas masivas.
Vulnerabilidad crítica en Cisco IOS XE para WLCs (CVE-2025-20188)
En el ámbito inalámbrico, destaca CVE-2025-20188, una vulnerabilidad con puntuación CVSS 10.0 que afecta a controladores Wireless LAN (WLCs) con Cisco IOS XE, incluidos Catalyst 9800‑CL para cloud, Catalyst 9800 Embedded Wireless Controller en switches Catalyst 9300/9400/9500, controladores Catalyst 9800 Series y Embedded Wireless Controller en puntos de acceso Catalyst.
El origen del fallo es la presencia de un JSON Web Token (JWT) codificado de forma fija en el sistema. Un atacante remoto no autenticado puede enviar solicitudes HTTPS cuidadosamente elaboradas a la interfaz de descarga de imágenes de puntos de acceso (Out‑of‑Band AP Image Download), y si esa función está habilitada (viene desactivada por defecto), puede subir archivos arbitrarios, realizar traversal de directorios y ejecutar comandos con privilegios de root.
Cisco detectó esta vulnerabilidad durante pruebas internas del equipo ASIG, y aunque no hay evidencia de explotación activa, recomienda encarecidamente actualizar a la última versión de IOS XE con el parche incorporado y, si no se puede parchear de inmediato, deshabilitar como medida temporal la función Out‑of‑Band AP Image Download.
Además, es vital limitar el acceso a la interfaz de administración de los controladores a redes confiables y bien monitorizadas, y revisar los logs del sistema en busca de comportamiento anómalo vinculado a operaciones de carga de ficheros o comandos sospechosos.
Backdoor y cuentas codificadas en Unified CM (CVE-2025-20309)
La vulnerabilidad CVE-2025-20309 afecta a determinadas versiones Engineering Special (ES) de Cisco Unified Communications Manager (Unified CM) y Session Management Edition (SME), concretamente entre las versiones 15.0.1.13010‑1 y 15.0.1.13017‑1.
En estas versiones se incluyó, para pruebas internas, una cuenta con privilegios de root y credenciales codificadas que no puede ser modificada ni eliminada por los administradores. El acceso se realiza vía SSH y, de facto, actúa como una puerta trasera que otorga acceso completo al sistema sin seguir los mecanismos de autenticación habituales.
Las versiones estándar no se ven afectadas salvo que se haya instalado alguno de estos paquetes ES vulnerables. Para cerrar este agujero, Cisco ha lanzado una actualización correctiva en la versión 15SU3 y un parche independiente (CSCwp27755_D0247‑1.cop.sha512) que elimina la cuenta de prueba y restaura una configuración segura del sistema. De nuevo, no existen workarounds más allá de aplicar el parche o retirar las versiones ES afectadas.
AsyncOS y explotación zero‑day por grupos estatales (CVE-2025-20393)
Otra pieza crítica del ecosistema Cisco es AsyncOS, el sistema operativo utilizado en soluciones de correo seguro. La vulnerabilidad CVE-2025-20393, catalogada como zero‑day con CVSS 10, es un fallo de validación incorrecta de entrada (CWE‑20) que se activa cuando la función Spam Quarantine está habilitada o el puerto asociado a esta función está expuesto a Internet.
La explotación permite a un atacante remoto sin autenticación ejecutar comandos con privilegios de root, comprometer completamente el dispositivo e instalar backdoors persistentes. Cisco ha vinculado esta vulnerabilidad a UAT‑9686, un actor estatal chino, que ha llevado a cabo campañas desde principios de diciembre de 2025 implantando puertas traseras, estableciendo canales de control inverso (por ejemplo, túneles SSH) y borrando o manipulando registros de auditoría para ocultar su actividad.
El detalle más delicado es que, a día de la publicación del aviso, AsyncOS no cuenta todavía con un parche disponible. Cisco recomienda restaurar el dispositivo a una configuración considerada segura, ponerse en contacto con el TAC para evaluar si ha sido comprometido y, mientras tanto, restringir al máximo el acceso al dispositivo, asegurando que los puertos asociados a Spam Quarantine y otros servicios sensibles no estén expuestos a redes no confiables.
Vulnerabilidades en IMC y Smart Software Manager On‑Prem
Más allá de los planos de datos y seguridad, también han aparecido vulnerabilidades críticas en componentes de gestión de licencias y hardware. La vulnerabilidad CVE-2026-20093 afecta al Cisco Integrated Management Controller (IMC) en productos como servidores UCS C‑Series y sistemas ENCS.
El fallo se debe a un manejo incorrecto de las solicitudes de cambio de contraseña, permitiendo a un atacante remoto no autenticado eludir la autenticación, modificar contraseñas de cualquier usuario (incluidos administradores) y obtener acceso al sistema como ese usuario. Productos afectados incluyen ENCS 5000, Catalyst 8300 Edge uCPE, UCS C‑Series M5/M6 en modo standalone y UCS E‑Series M3/M6, con versiones específicas ya corregidas (por ejemplo, 4.15.5, 4.18.3, 4.3(2.260007), 4.3(6.260017), 6.0(1.250174), 3.2.17 y 4.15.3, según modelo).
Paralelamente, CVE-2026-20160 impacta en Cisco Smart Software Manager On‑Prem (SSM On‑Prem), provocando exposición involuntaria de un servicio interno. Un atacante remoto no autenticado puede enviar solicitudes especialmente diseñadas a la API expuesta y ejecutar comandos en el sistema operativo con privilegios de administrador. Cisco ha resuelto este fallo en la versión 9‑202601 de SSM On‑Prem, descubriendo la vulnerabilidad internamente durante un caso del TAC.
Aunque no se ha detectado explotación pública de estas vulnerabilidades, Cisco recuerda que otros fallos recientes, como CVE-2026-20131, CVE-2026-20079, la propia CVE-2026-20093 y CVE-2026-20160, han sido objetivo de ciberdelincuentes en los últimos 60 días, lo que refuerza la necesidad de parchear de forma preventiva incluso si no hay explotación «en la calle» declarada.
ASA, FTD y la campaña ArcaneDoor (CVE-2025-20333 y asociadas)
Las soluciones perimetrales Cisco ASA y Firepower Threat Defense (FTD) tampoco se han librado. La vulnerabilidad CVE-2025-20333 afecta al servidor web que gestiona las funciones VPN en estos dispositivos y se basa en un fallo de validación de entradas que permite a un atacante autenticado por VPN ejecutar código arbitrario con privilegios de root.
Lo más preocupante es su uso real en incidentes que se han vinculado al grupo APT UAT4356 (Storm‑1849), asociado a la campaña “ArcaneDoor”. En estos ataques, además de explotar la vulnerabilidad, el actor desplegó mecanismos de persistencia avanzada, llegando incluso a modificar el firmware (ROM) para mantener el control del dispositivo tras reinicios o actualizaciones.
CVE-2025-20333 suele combinarse con CVE-2025-20362, una vulnerabilidad complementaria que reduce aún más las barreras de autorización, facilitando la explotación. La combinación convierte a los dispositivos ASA/FTD vulnerables en puntos de entrada privilegiados desde los que interceptar, manipular o redirigir tráfico que atraviesa el perímetro de la red.
Los productos afectados incluyen múltiples ramas de ASA (9.16, 9.17, 9.18, 9.19, 9.20, 9.22, etc.) y de FTD (7.0, 7.2, 7.4, 7.6, entre otras). Cisco recomienda actualizar a versiones fijas como 9.16.4.85, 9.17.1.45, 9.18.4.47, 9.19.1.37, 9.20.3.7, 9.22.1.3 en ASA y 7.0.8.1, 7.2.9, 7.4.2.4, 7.6.1, etc. en FTD. No se han publicado workarounds efectivos, por lo que el parcheo es de carácter urgente en entornos expuestos a Internet.
El volumen y la gravedad de las vulnerabilidades críticas recientes en Cisco dejan claro que mantener la seguridad de la red es una tarea continua: las organizaciones que gestionan infraestructuras con productos Cisco necesitan procesos de actualización ágiles, monitorización avanzada, controles de acceso estrictos y apoyo de servicios de ciberseguridad que les ayuden a identificar y mitigar riesgos antes de que los grupos de amenaza conviertan cada nuevo CVE en la puerta de entrada a sus activos más valiosos.
