Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило экстренное предупреждение о двух серьезных уязвимостях в Cisco Identity Services Engine (ISE), которые уже используются злоумышленниками в реальных атаках. Эти уязвимости, получившие идентификаторы CVE-2025-20281 и CVE-2025-20337, были добавлены в каталог Known Exploited Vulnerabilities Catalog 28 июля 2025 года, что свидетельствует о высоком уровне угрозы для организаций, использующих уязвимые системы.
Обе уязвимости относятся к типу инъекций (CWE-74) и связаны с недостаточной проверкой пользовательского ввода в определенных API Cisco ISE и Cisco ISE-PIC. Это позволяет злоумышленникам отправлять специально сформированные запросы, приводящие к удаленному выполнению кода (RCE) с правами root. Получение таких привилегий дает атакующим практически полный контроль над затронутыми устройствами, что делает эти уязвимости крайне опасными.
Тот факт, что CISA внесла эти уязвимости в список активно эксплуатируемых, означает, что они уже используются в реальных атаках. Это обязывает федеральные агентства США принять меры по устранению проблемы в кратчайшие сроки, а частным компаниям настоятельно рекомендуется сделать то же самое. Агентство установило крайний срок для устранения уязвимостей - 18 августа 2025 года, оставляя организациям всего три недели на реагирование. В случае невозможности устранения проблемы CISA рекомендует отключить уязвимые системы.
Cisco ISE - это критически важная платформа для управления сетевым доступом, используемая компаниями по всему миру для аутентификации и авторизации устройств. Обнаружение уязвимостей в этом решении ставит под угрозу безопасность корпоративных сетей, так как злоумышленники могут получить полный контроль над инфраструктурой и закрепиться в системах на длительное время.
Пока неизвестно, используются ли эти уязвимости в атаках с ransomware, но их опасность очевидна: возможность удаленного выполнения кода с максимальными привилегиями делает их идеальной мишенью для киберпреступников, включая группы, специализирующиеся на шифровальщиках.
Организациям, использующим Cisco ISE, следует немедленно проверить свои системы на наличие уязвимых версий, установить доступные обновления и усилить мониторинг сетевой активности. Учитывая сжатые сроки, установленные CISA, промедление может привести к серьезным последствиям, включая утечки данных и полный компрометацю сетевой инфраструктуры.
Рекомендации Cisco по устранению уязвимостей уже опубликованы, и компаниям следует как можно скорее их применить. В противном случае риски кибератак значительно возрастают, особенно для организаций, чьи сети содержат критически важные данные или обеспечивают работу ключевых бизнес-процессов.
Эксперты по информационной безопасности отмечают, что подобные инциденты подчеркивают важность своевременного обновления программного обеспечения и активного мониторинга угроз. Уязвимости в таких решениях, как Cisco ISE, представляют особую опасность, поскольку они затрагивают не отдельные устройства, а всю сетевую инфраструктуру, что делает их привлекательными для целенаправленных атак.
Остается надеяться, что компании успеют принять меры до того, как волна атак достигнет максимального масштаба, но история показывает, что в подобных случаях злоумышленники действуют быстро и масштабно. В ближайшие недели ситуация может обостриться, поэтому оперативное реагирование остается ключевым фактором защиты от потенциальных киберугроз.
