Корпорация Cisco выпустила срочное предупреждение, в котором сообщила о выявлении критических уязвимостей в своих продуктах Identity Services Engine (ISE) и Passive Identity Connector (ISE-PIC). Эти уязвимости позволяют злоумышленникам выполнять произвольный код на атакуемых системах с правами суперпользователя (root), что делает их крайне опасными для корпоративных сетей. Эксперты по кибербезопасности уже фиксируют активные попытки эксплуатации данных уязвимостей в реальных атаках, что требует немедленного реагирования со стороны администраторов.
Детали уязвимостей
Проблемы получили идентификаторы CVE-2025-20281, CVE-2025-20282 и CVE-2025-20337, каждая из которых получила максимально возможный балл по шкале CVSS (10.0). Это означает, что уязвимости могут быть использованы удаленно без аутентификации и предоставляют полный контроль над уязвимыми системами. Первая пара уязвимостей (CVE-2025-20281 и CVE-2025-20337) затрагивает публичные API в версиях Cisco ISE и ISE-PIC 3.3 и 3.4. Злоумышленники могут отправлять специально сформированные запросы к API, обходя проверки ввода и запуская произвольные команды с привилегиями root. Вторая уязвимость, CVE-2025-20282, связана с недостаточной проверкой загружаемых файлов, что позволяет злоумышленникам размещать вредоносные объекты в защищенных директориях и выполнять их.
Cisco подчеркивает, что обходных решений (workarounds) для этих проблем не существует, и единственным надежным способом защиты является немедленное применение выпущенных обновлений. Компания также уточнила, что уязвимости не затрагивают более ранние версии ISE и ISE-PIC, но все пользователи версий 3.3 и 3.4 должны срочно обновиться. Для версии 3.4 необходимо установить патч 3.4 Patch 2, а для версии 3.3 - переход на 3.3 Patch 7.
Особое внимание Cisco уделила тем администраторам, которые ранее устанавливали временные исправления (hotfix) для CVE-2025-20281. Эти исправления не устраняют вторую RCE-уязвимость (CVE-2025-20337), поэтому даже после их применения требуется переход на полные фиксированные версии ПО.
Корпорация подтвердила, что обновленные версии полностью устраняют уязвимости и настоятельно рекомендует пользователям провести сканирование своих сетей на наличие уязвимых систем. Учитывая активную эксплуатацию этих дыр в реальных атаках, промедление с установкой патчей может привести к серьезным последствиям, включая компрометацию критически важных элементов инфраструктуры.
Эксперты по кибербезопасности отмечают, что уязвимости в продуктах Cisco ISE представляют особую угрозу, так как эти решения используются для контроля доступа к корпоративным сетям. В случае взлома злоумышленники могут получить контроль над аутентификацией пользователей, перехватывать учетные данные и внедрять вредоносное ПО.
Cisco традиционно не раскрывает технические детали эксплоитации до полного устранения проблем, чтобы не облегчать задачу злоумышленникам. Однако уже сейчас ясно, что атаки на эти уязвимости могут быть массовыми, учитывая популярность продуктов ISE в корпоративном сегменте.
Рекомендации для администраторов:
- Немедленно проверить версии Cisco ISE и ISE-PIC в своих сетях.
- Установить соответствующие обновления в соответствии с инструкциями Cisco.
- Провести мониторинг сетевой активности на предмет подозрительных запросов к API.
- Ограничить доступ к административным интерфейсам ISE только доверенным IP-адресам.
Несмотря на то, что Cisco оперативно выпустила исправления, реальная защита зависит от скорости их внедрения на стороне клиентов. В условиях растущей киберпреступности и увеличения числа целенаправленных атак на корпоративные сети, даже небольшая задержка с установкой патчей может обернуться серьезными финансовыми и репутационными потерями.
В ближайшие дни ожидается рост числа попыток эксплуатации этих уязвимостей, особенно в отношении организаций, которые задержат обновление. Поэтому администраторам следует отнестись к этому предупреждению с максимальной серьезностью и действовать без промедления. Cisco продолжает мониторинг ситуации и обещает предоставлять дополнительную информацию по мере необходимости.
Ссылки
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
- https://www.cve.org/CVERecord?id=CVE-2025-20281
- https://www.cve.org/CVERecord?id=CVE-2025-20282
- https://www.cve.org/CVERecord?id=CVE-2025-20337
