Zero-day в Cisco ISE: критические дыры дают хакерам root-доступ без логина

leer en español

Cisco ISE API RCE CVE-2025-20281 уязвимость root
Zero-day в Cisco ISE: критические дыры дают хакерам root-доступ без логина
Cisco ISE API RCE CVE-2025-20281 уязвимость root

Каждая минута без апдейта — шанс для незваного гостя.

image

Недавно обнаруженные критические уязвимости в инфраструктуре Cisco, уже активно используются злоумышленниками для атак на корпоративные сети. Компания официально подтвердила , что её команда реагирования на инциденты безопасности (PSIRT) зафиксировала попытки эксплуатации этих уязвимостей в реальных условиях. Речь идёт о брешах в продуктах Cisco Identity Services Engine (ISE) и сопутствующем модуле Passive Identity Connector (ISE-PIC).

Cisco ISE выполняет ключевую роль в системе контроля доступа: он определяет, кто и при каких условиях может подключаться к корпоративной сети. Нарушение целостности этой платформы даёт злоумышленникам неограниченный доступ ко внутренним системам компании, позволяя обходить механизмы аутентификации и журналирования, по сути превращая систему безопасности в открытую дверь.

В официальном уведомлении компания перечислила три критические уязвимости с наивысшей оценкой по шкале CVSS — 10 баллов из 10. Все три позволяют удалённому неавторизованному атакующему выполнять команды на уязвимом устройстве от имени пользователя root — то есть с наивысшими правами в системе:

  • CVE-2025-20281 и CVE-2025-20337 связаны с обработкой API-запросов. Недостаточная проверка пользовательского ввода позволяет злоумышленнику сформировать специальный запрос, с помощью которого можно запустить произвольный код на сервере ISE;
  • CVE-2025-20282 касается внутреннего API. Здесь отсутствует надлежащая фильтрация загружаемых файлов, из-за чего атакующий может передать вредоносный файл и добиться его исполнения в защищённой директории, также с привилегиями root.

Технически эти уязвимости возникают из-за отсутствия валидации входных данных (в первых двух случаях) и недостаточного контроля путей загрузки файлов (в третьем). Варианты эксплуатации варьируются от отправки специально сформированного API-запроса до загрузки подготовленного файла на сервер. В обоих сценариях атакующий может обойти механизмы проверки подлинности и установить полный контроль над устройством.

Несмотря на факт активной эксплуатации, Cisco пока не сообщает, какие именно уязвимости стали объектами атак, кто стоит за ними и насколько широк масштаб происходящего. Однако сам факт появления эксплойтов подчёркивает серьёзность ситуации.

Компания выпустила исправления для устранения всех уязвимостей и настоятельно рекомендует своим клиентам немедленно обновить программное обеспечение до последних версий. Оставшиеся без обновлений системы находятся под угрозой удалённого захвата без необходимости аутентификации — что особенно опасно для сетей, работающих в условиях высокой регуляторной нагрузки или критической инфраструктуры.

Помимо установки обновлений, специалисты советуют системным администраторам внимательно проанализировать журналы активности, чтобы выявить признаки подозрительных API-запросов или попыток загрузки несанкционированных файлов, особенно если компоненты ISE доступны извне.

Ситуация с Cisco ISE вновь показывает, насколько уязвимыми могут быть даже ключевые элементы архитектуры безопасности при отсутствии должного контроля за интерфейсами и проверками пользовательских данных. Учитывая распространённость этих решений в корпоративных средах, их компрометация может оказаться фатальной для защищённости всей внутренней сети.