В Cisco Identity Services Engine (ISE) обнаружены две критические уязвимости, предоставляющие злоумышленникам возможность получения полного контроля над системой и доступа к конфиденциальным данным. Эти уязвимости, идентифицированные как CVE-2024-20124 и CVE-2024-20125, затрагивают версии Cisco ISE 3.0, 3.1, 3.2 и 3.3. Версия 3.4 не подвержена этим рискам.
CVE-2024-20124 (с оценкой CVSS 9.9) связана с небезопасной десериализацией Java. Атакующий, прошедший аутентификацию, может отправить специально созданный сериализованный объект Java на определенную конечную точку API, что приведет к выполнению произвольных команд с правами root. Это дает злоумышленнику полный контроль над уязвимой системой. Уязвимость обнаружили Dan Marin и Sebastian Radulea из компании Deloitte.
Вторая уязвимость, CVE-2024-20125 (с оценкой CVSS 9.1), представляет собой обход авторизации. Прошедший проверку подлинности злоумышленник с низким уровнем привилегий, отправив специально созданный HTTP-запрос, может получить доступ к конфиденциальной информации, изменить конфигурацию узла и даже перезагрузить его.
Важно подчеркнуть, что обе уязвимости могут быть использованы удаленно и не зависят друг от друга. Cisco не сообщает об активном использовании этих уязвимостей, однако настоятельно рекомендует немедленно установить обновления. Обходных путей решения проблемы не существует.
Для устранения CVE-2024-20124 и CVE-2024-20125 компания Cisco выпустила следующие исправления:
Для Cisco ISE 3.0: рекомендуется миграция на исправленную версию.
Для Cisco ISE 3.1: уязвимость устранена в версии 3.1P10.
Для Cisco ISE 3.2: уязвимость устранена в версии 3.2P7.
Для Cisco ISE 3.3: уязвимость устранена в версии 3.3P4.
Несвоевременное обновление Cisco ISE подвергает систему серьезному риску. Учитывая высокий уровень критичности и потенциальную возможность полного захвата системы, администраторам следует незамедлительно принять меры по установке исправленных версий программного обеспечения.
Изображение носит иллюстративный характер
CVE-2024-20124 (с оценкой CVSS 9.9) связана с небезопасной десериализацией Java. Атакующий, прошедший аутентификацию, может отправить специально созданный сериализованный объект Java на определенную конечную точку API, что приведет к выполнению произвольных команд с правами root. Это дает злоумышленнику полный контроль над уязвимой системой. Уязвимость обнаружили Dan Marin и Sebastian Radulea из компании Deloitte.
Вторая уязвимость, CVE-2024-20125 (с оценкой CVSS 9.1), представляет собой обход авторизации. Прошедший проверку подлинности злоумышленник с низким уровнем привилегий, отправив специально созданный HTTP-запрос, может получить доступ к конфиденциальной информации, изменить конфигурацию узла и даже перезагрузить его.
Важно подчеркнуть, что обе уязвимости могут быть использованы удаленно и не зависят друг от друга. Cisco не сообщает об активном использовании этих уязвимостей, однако настоятельно рекомендует немедленно установить обновления. Обходных путей решения проблемы не существует.
Для устранения CVE-2024-20124 и CVE-2024-20125 компания Cisco выпустила следующие исправления:
Для Cisco ISE 3.0: рекомендуется миграция на исправленную версию.
Для Cisco ISE 3.1: уязвимость устранена в версии 3.1P10.
Для Cisco ISE 3.2: уязвимость устранена в версии 3.2P7.
Для Cisco ISE 3.3: уязвимость устранена в версии 3.3P4.
Несвоевременное обновление Cisco ISE подвергает систему серьезному риску. Учитывая высокий уровень критичности и потенциальную возможность полного захвата системы, администраторам следует незамедлительно принять меры по установке исправленных версий программного обеспечения.
