Просто отправь запрос — и ты root. Три критические дыры в Cisco ISE уже эксплуатируют

уязвимости Cisco Cisco ISE патч CVE-2025-20282
Просто отправь запрос — и ты root. Три критические дыры в Cisco ISE уже эксплуатируют
уязвимости Cisco Cisco ISE патч CVE-2025-20282

Просто отправь запрос — и ты уже root.

image

Cisco сообщила, что три критические уязвимости, недавно устранённые в платформе Identity Services Engine (ISE) , уже используются в реальных атаках. Несмотря на отсутствие подробностей о масштабах и последствиях инцидентов, сам факт активной эксплуатации подчёркивает срочность обновления ISE в продуктивных средах.

Как указано в обновлённом бюллетене Cisco PSIRT , компания зафиксировала достоверные свидетельства попыток эксплуатации в июле 2025 года. Вендор настоятельно рекомендует администраторам немедленно перейти на версии, в которых данные уязвимости закрыты.

Платформа Cisco ISE широко применяется в корпоративных инфраструктурах для централизованного контроля сетевого доступа, аутентификации пользователей и реализации политик безопасности. Обнаруженные дефекты позволяют атакующему полностью скомпрометировать систему, причём без предварительной авторизации.

Каждая из трёх уязвимостей получила наивысшую оценку опасности — CVSS 10.0 — и даёт возможность удалённого выполнения произвольного кода. Подвержены как основная платформа ISE, так и её компонент ISE Passive Identity Connector (ISE-PIC). Ниже представлены детали:

  • CVE-2025-20281: брешь в REST API , позволяющая запуск команд от имени root через специально сформированный запрос. Уязвимость устранена в ISE 3.3 Patch 7 и ISE 3.4 Patch 2.
  • CVE-2025-20282: позволяет атакующему загрузить вредоносный файл в системный каталог и выполнить его с повышенными привилегиями, минуя проверку содержимого. Актуальна для ISE 3.4, закрыта во втором патче.
  • CVE-2025-20337: ещё один уязвимый участок API-интерфейса ISE и ISE-PIC, связанный с недостаточной фильтрацией входных данных. Успешная атака позволяет получить root-доступ. Проблема исправлена в тех же патчах — 3.3.7 и 3.4.2.

Из-за разницы в сроках выявления багов Cisco выпустила два набора обновлений. Чтобы устранить все уязвимости, необходимо:

  • на ISE 3.3 — установить Patch 7;
  • на ISE 3.4 — применить Patch 2;
  • версии 3.2 и ниже не нуждаются в обновлении — они не затронуты.

Временных решений или обходных механизмов Cisco не предлагает: защита возможна только при условии своевременного применения патчей. При наличии открытого API-интерфейса эксплойт может привести к мгновенному захвату системы.

Инцидент вокруг Cisco ISE наглядно демонстрирует, насколько быстро уязвимости в ключевых элементах сетевой инфраструктуры переходят из теоретических в реально эксплуатируемые. От своевременности реакции зависит безопасность всей организации, даже при использовании решений ведущих вендоров.