Сетевой щит Cisco дал трещину — баги открывают root-доступ быстрее, чем выходят обновления

Корпорация Cisco выпустила обновления для устранения двух опаснейших багов в своих продуктах для сетевой безопасности. Обе проблемы затрагивают Cisco Identity Services Engine (ISE) и связанный с ним компонент ISE Passive Identity Connector (ISE-PIC). С их помощью злоумышленники могут получить полный контроль над уязвимыми устройствами, выполняя произвольный код от имени суперпользователя.

Уязвимости получили идентификаторы CVE-2025-20281 и CVE-2025-20282. Обе Cisco оценила на максимальные 10 баллов по шкале CVSS. Однако Национальная база данных уязвимостей (NVD) снизила оценку первой из них до 9.8, что не умаляет её серьёзности.

Программный комплекс Cisco ISE используется для контроля доступа к корпоративным сетям. Он может быть установлен как на выделенных серверах, так и на виртуальных машинах или в облачных средах. Компонент ISE-PIC служит для сбора информации об учетных данных пользователей и передачи её другим системам безопасности, что делает его ключевым элементом в инфраструктуре идентификации и авторизации.

Cisco отдельно подчёркивает, что эти два бага не связаны между собой и могут эксплуатироваться независимо. И устранение одной бреши никак не влияет на возможность эксплуатации другой.

CVE-2025-20281 нашли в ISE и ISE-PIC 3.3 и 3.4. В более ранних сборках она не встречается. По словам специалистов, проблема связана с тем, что система недостаточно тщательно проверяет данные, которые поступают через API. В результате злоумышленник может отправить специально сформированный запрос — для этого не нужны ни учётные записи, ни предварительный доступ — и получить root-привилегии, фактически полный контроль над устройством.

Вторая брешь, CVE-2025-20282, также затрагивает внутренний API, но механизм её эксплуатации иной. Здесь суть в том, что отсутствует проверка загружаемых файлов. В результате атакующий может загрузить на устройство вредонос и разместить его в защищённых системных каталогах. После этого появляется возможность выполнить произвольный код или снова получить root-доступ. Однако в данном случае проблема обнаружена только в версии 3.4. Старые версии, включая 3.3 - вне зоны риска.

Пока ни одной из уязвимостей в реальных атаках замечено не было. Однако подробности об их техническом устройстве Cisco предпочла не раскрывать, чтобы дать администраторам время для установки обновлений и избежать волны атак.

Для устранения CVE-2025-20281 рекомендуется обновиться как минимум до версии 3.3 с патчем 6 или до версии 3.4 с патчем 2. Второй баг требует обязательного обновления до версии 3.4 патч 2 — это единственный способ закрыть дыру.

Подобная ситуация с критическими сбоями в API компонентов ISE и ISE-PIC уже возникала ранее в этом году. Тогда уязвимости (кстати, тоже с максимумом баллов по рейтингу) позволяли злоумышленникам атаковать систему. Однако для их эксплуатации требовались учётные данные с правами администратора (пусть и ограниченными, только для чтения), что серьёзно усложняло работу хакеров . В новом же случае достаточно направленного запроса или загрузки файла — без какой-либо аутентификации.