Корпорація Cisco повідомила про виявлення двох надзвичайно небезпечних уразливостей у своєму продукті Identity Services Engine (ISE), які дозволяють зловмисникам отримувати повний контроль над корпоративними системами без будь-якої автентифікації. Обидві брешші отримали максимальний рейтинг 10.0 за шкалою CVSS, що свідчить про критичний рівень загрози для організацій по всьому світу.
Аналіз критичних уразливостей CVE-2025-20281 та CVE-2025-20282
Перша уразливість CVE-2025-20281 впливає на Cisco ISE та ISE-PIC версій 3.4 і 3.3. Основна проблема полягає у неналежній валідації користувацького вводу в публічному API системи. Ця брешша дає можливість неавтентифікованим атакуючим надсилати спеціально створені API-запити та виконувати довільні команди з привілеями суперкористувача.
Друга уразливість CVE-2025-20282 стосується виключно версії 3.4 і пов’язана з недостатньою перевіркою файлів у внутрішньому API. Ця проблема створює можливість запису файлів у привілейовані директорії, що дозволяє віддаленим зловмисникам завантажувати та виконувати довільні файли з правами системного адміністратора.
Вплив на корпоративну інфраструктуру безпеки
Cisco Identity Services Engine є центральною платформою для управління політиками мережевої безпеки та контролю доступу в корпоративних мережах. Система функціонує як рішення для контролю мережевого доступу (NAC), забезпечуючи управління ідентифікацією та застосування політик безпеки.
Продукт широко використовується великими підприємствами, державними установами, освітніми організаціями та телекомунікаційними провайдерами. Компрометація такої критично важливої системи може призвести до повного порушення мережевої безпеки організації та несанкціонованого доступу до конфіденційних корпоративних даних.
Поточний стан загрози та заходи реагування
Представники Cisco повідомляють, що на даний момент випадки активної експлуатації виявлених уразливостей не зафіксовані. Також відсутні публічно доступні експлойти для цих брешей. Проте критичний рівень загрози вимагає негайного вжиття заходів щодо усунення уразливостей.
Обов’язкові оновлення системи безпеки
Cisco категорично рекомендує всім користувачам негайно встановити наступні оновлення безпеки:
• Для версії 3.3: оновлення до 3.3 Patch 6 (ise-apply-CSCwo99449_3.3.0.430_patch4)
• Для версії 3.4: оновлення до 3.4 Patch 2 (ise-apply-CSCwo99449_3.4.0.608_patch1) або новіших версій
Критично важливо зазначити, що альтернативних методів усунення цих уразливостей не існує. Встановлення офіційних патчів є єдиним ефективним способом захисту від потенційних атак.
Рекомендації щодо мінімізації ризиків
До встановлення патчів організаціям слід розглянути можливість тимчасового обмеження доступу до ISE з недовірених мереж та посилення моніторингу мережевого трафіку. Також рекомендується провести аудит журналів системи для виявлення підозрілої активності.
Виявлення двох критичних RCE-уразливостей у Cisco ISE підкреслює необхідність регулярного моніторингу безпеки та своєчасного застосування оновлень. Організаціям слід негайно провести інвентаризацію використовуваних версій ISE та виконати оновлення до захищених релізів. Зволікання у цьому випадку може призвести до серйозних наслідків для корпоративної безпеки та цілісності критично важливих даних компанії.
