
Серьезные уязвимости в Cisco Identity Services Engine (ISE) и Cisco ISE Passive Identity Connector (ISE-PIC) могут позволить неавторизованному удаленному злоумышленнику выполнять команды с привилегиями root, говорится в сообщении Cisco.
Cisco выпустила несколько исправлений для этих проблем, включая расширенное исправление для определенных версий программного обеспечения.
Об уязвимостях сообщили Бобби Гулд из Trend Micro Zero Day Initiative и Кентаро Каване из GMO Cybersecurity by Ierae, сотрудничающий с Trend Micro Zero Day Initiative.
Уязвимости позволяют выполнить произвольный код
Патчи Cisco устраняют три уязвимости: CVE-2025-20281, CVE-2025-20337 и CVE-2025-20282. Все они являются уязвимостями, позволяющими выполнить произвольный код, но они не связаны друг с другом и не требуют совместной эксплуатации для достижения эффективности.
CVE-2025-20281 и CVE-2025-20337 открывают Cisco ISE и Cisco ISE-PIC для удаленного выполнения кода. Злоумышленник может отправить поддельный API-запрос, воспользовавшись недостаточной проверкой вводимых пользователем данных. Это может привести к получению привилегий уровня root.
CVE-2025-20282 затрагивает Cisco ISE и ISE-PIC Release 3.4. С его помощью злоумышленник мог загрузить на устройство поддельный файл. Из-за отсутствия проверки файла он мог быть помещен в привилегированные каталоги, что позволяло злоумышленнику выполнить произвольный код или получить root-доступ.
Cisco заявила, что ей не известно о каких-либо активных случаях эксплуатации этих уязвимостей.
Как устранить уязвимости
Ваш Cisco ISE защищен от этих уязвимостей, если на нем установлены следующие версии:
- Release 3.4 Patch 2
- Release 3.3 Patch 6 (с Release 3.3 Patch 7)
Cisco выпустила «горячие» исправления до этих версий, но они были заменены версиями, перечисленными выше. Компания также предоставила руководства по применению обновлений.
Другие новости от Cisco
Из новостей, связанных с кибербезопасностью: около месяца назад Talos, подразделение Cisco по анализу систем безопасности, обнаружило группу угроз, использовавшую обещания генеративного ИИ в качестве приманки для распространения вредоносного ПО. Злоумышленники использовали поддельную версию реального бизнес-сайта для распространения штамма выкупного ПО под названием CyberLock, которое блокировало определенные документы на компьютере жертвы. Поддельный сайт обещал загрузить версию ChatGPT.
Кроме того, в марте компания Cisco запустила инициативу по обучению цифровым навыкам в Европейском союзе, направленную на повышение уровня кибербезопасности. Бесплатные курсы, предлагаемые через Сетевую академию Ciscos, направлены на обучение большего числа людей необходимым навыкам работы в сети и кибербезопасности.