Cisco подтвердила активную эксплуатацию критических уязвимостей в своих продуктах Identity Services Engine (ISE) и ISE Passive Identity Connector (ISE-PIC). Обновлённый бюллетень безопасности, выпущенный в понедельник, указывает на реальные атаки в дикой природе, зафиксированные Cisco PSIRT в июле 2025 года.
Все три уязвимости получили максимальную оценку CVSS 10.0. Злоумышленники используют CVE-2025-20281 и CVE-2025-20337 для выполнения произвольного кода с правами root через отправку сформированных API-запросов. Недостаточная проверка входных данных позволяет обойти аутентификацию.
CVE-2025-20282 открывает ещё один путь: загрузка вредоносных файлов на устройство из-за отсутствия валидации. Файлы размещаются в привилегированных директориях, что также приводит к выполнению команд от имени root. Cisco не раскрыла масштабы атак или личности угроз, но подчеркнула: эксплуатация подтверждена.
Риски катастрофичны. ISE — центральный компонент контроля доступа к корпоративным сетям. Компрометация превращает его политики безопасности в «открытую дверь». Злоумышленник получает неограниченный доступ к системам, обходит механизмы аутентификации и логирования. Удалённое выполнение кода без предварительной проверки прав (pre-auth RCE) делает угрозу особо опасной для критической инфраструктуры.
Cisco требует немедленного обновления ПО до патченных версий. Мониторинг логов обязателен: ищите аномальные API-запросы и несанкционированные загрузки файлов. Системы с доступом извне — первоочередная цель. Промедление равносильно передаче контроля над сетью злоумышленникам.
Изображение носит иллюстративный характер
Все три уязвимости получили максимальную оценку CVSS 10.0. Злоумышленники используют CVE-2025-20281 и CVE-2025-20337 для выполнения произвольного кода с правами root через отправку сформированных API-запросов. Недостаточная проверка входных данных позволяет обойти аутентификацию.
CVE-2025-20282 открывает ещё один путь: загрузка вредоносных файлов на устройство из-за отсутствия валидации. Файлы размещаются в привилегированных директориях, что также приводит к выполнению команд от имени root. Cisco не раскрыла масштабы атак или личности угроз, но подчеркнула: эксплуатация подтверждена.
Риски катастрофичны. ISE — центральный компонент контроля доступа к корпоративным сетям. Компрометация превращает его политики безопасности в «открытую дверь». Злоумышленник получает неограниченный доступ к системам, обходит механизмы аутентификации и логирования. Удалённое выполнение кода без предварительной проверки прав (pre-auth RCE) делает угрозу особо опасной для критической инфраструктуры.
Cisco требует немедленного обновления ПО до патченных версий. Мониторинг логов обязателен: ищите аномальные API-запросы и несанкционированные загрузки файлов. Системы с доступом извне — первоочередная цель. Промедление равносильно передаче контроля над сетью злоумышленникам.
