Cisco предупредила о критической уязвимости (CVE-2025-20337) в системах Identity Services Engine (ISE) и ISE Passive Identity Connector (ISE-PIC). Уязвимость получила максимальную оценку опасности CVSS 10.0. Неаутентифицированный злоумышленник может удалённо выполнить произвольный код на целевой системе, получив полные права root, путём отправки специально сформированного API-запроса.
Затронуты исключительно версии ISE и ISE-PIC Release 3.3 и 3.4. Релизы 3.2 и старше не уязвимы. Исправления уже выпущены: для Release 3.3 — в Patch 7 (3.3 Patch 7), для Release 3.4 — в Patch 2 (3.4 Patch 2). Промедление с обновлением создаёт экстремальные риски.
Уязвимость обнаружил Кентаро Каване из GMO Cybersecurity. Ранее он выявил схожие проблемы в Cisco ISE (CVE-2025-20286, CVE-2025-20282) и критическую брешь в Fortinet FortiWeb (CVE-2025-25257). На момент публикации Cisco не зафиксировала эксплуатации CVE-2025-20337 в дикой природе.
Параллельно активизировались атаки на уязвимость Fortinet FortiWeb (CVE-2025-25257), также найденную Каване. The Shadowserver Foundation сообщает: с 11 июля 2025 года злоумышленники массово внедряют веб-шеллы на уязвимых экземплярах. Эксплуатация идёт через публично доступные эксплойты.
По состоянию на 15 июля 2025 года Shadowserver обнаружил 77 заражённых систем FortiWeb. За день до этого (14 июля) их было 85. География инцидентов: Северная Америка (44 случая), Азия (14), Европа (13).
Censys указывает, что в сети активно 20 098 экземпляров FortiWeb. Точное число уязвимых к CVE-2025-25257 неизвестно. Брешь позволяет выполнять произвольные SQL-команды через сформированные HTTP-запросы, что приводит к удалённому выполнению кода (RCE).
Обе уязвимости — и в Cisco ISE, и в Fortinet — требуют немедленных действий. Отсутствие аутентификации как вектора атаки делает их особо опасными. Системы, работающие на ISE Release 3.3/3.4 без патчей, должны быть изолированы или обновлены в приоритетном порядке.
Администраторам FortiWeb рекомендовано проверить журналы на предмет аномалий с 11 июля и применить заплатки. Снижение числа заражений (с 85 до 77) не означает снижения угрозы — возможно, злоумышленники скрывают активность.
Кентаро Каване подчёркивает: «Недостаточная проверка вводимых пользователем данных — системная проблема. Патчи закрывают конкретные дыры, но архитектурный пересмотр API критически важен».
Изображение носит иллюстративный характер
Затронуты исключительно версии ISE и ISE-PIC Release 3.3 и 3.4. Релизы 3.2 и старше не уязвимы. Исправления уже выпущены: для Release 3.3 — в Patch 7 (3.3 Patch 7), для Release 3.4 — в Patch 2 (3.4 Patch 2). Промедление с обновлением создаёт экстремальные риски.
Уязвимость обнаружил Кентаро Каване из GMO Cybersecurity. Ранее он выявил схожие проблемы в Cisco ISE (CVE-2025-20286, CVE-2025-20282) и критическую брешь в Fortinet FortiWeb (CVE-2025-25257). На момент публикации Cisco не зафиксировала эксплуатации CVE-2025-20337 в дикой природе.
Параллельно активизировались атаки на уязвимость Fortinet FortiWeb (CVE-2025-25257), также найденную Каване. The Shadowserver Foundation сообщает: с 11 июля 2025 года злоумышленники массово внедряют веб-шеллы на уязвимых экземплярах. Эксплуатация идёт через публично доступные эксплойты.
По состоянию на 15 июля 2025 года Shadowserver обнаружил 77 заражённых систем FortiWeb. За день до этого (14 июля) их было 85. География инцидентов: Северная Америка (44 случая), Азия (14), Европа (13).
Censys указывает, что в сети активно 20 098 экземпляров FortiWeb. Точное число уязвимых к CVE-2025-25257 неизвестно. Брешь позволяет выполнять произвольные SQL-команды через сформированные HTTP-запросы, что приводит к удалённому выполнению кода (RCE).
Обе уязвимости — и в Cisco ISE, и в Fortinet — требуют немедленных действий. Отсутствие аутентификации как вектора атаки делает их особо опасными. Системы, работающие на ISE Release 3.3/3.4 без патчей, должны быть изолированы или обновлены в приоритетном порядке.
Администраторам FortiWeb рекомендовано проверить журналы на предмет аномалий с 11 июля и применить заплатки. Снижение числа заражений (с 85 до 77) не означает снижения угрозы — возможно, злоумышленники скрывают активность.
Кентаро Каване подчёркивает: «Недостаточная проверка вводимых пользователем данных — системная проблема. Патчи закрывают конкретные дыры, но архитектурный пересмотр API критически важен».
