Инфраструктура корпоративной сетевой безопасности по всему миру столкнулась с новой серьёзной угрозой. Компания Cisco выпустила экстренное уведомление о безопасности, предупреждая о двух только что обнаруженных уязвимостях в своих ключевых продуктах для управления политиками доступа: Identity Services Engine (ISE) и его компоненте ISE Passive Identity Connector (ISE-PIC). Для тысяч организаций, использующих эти платформы как основу для контроля доступа к сетевым ресурсам, новость означает необходимость немедленных действий, так как одна из ошибок позволяет злоумышленнику получить полный контроль над системой.
Детали уязвимостей
Система Cisco Identity Services Engine (ISE) представляет собой централизованную платформу для обеспечения политик безопасности. Она управляет аутентификацией пользователей и устройств, применяет правила доступа и является критически важным элементом архитектуры нулевого доверия во многих крупных компаниях и государственных учреждениях. Компрометация такого компонента равносильна выдаче злоумышленнику ключей от внутренней сети. Согласно официальному бюллетеню Cisco, опубликованному 15 апреля 2026 года, уязвимости сосредоточены в веб-интерфейсах управления обеих продуктов. Хотя для их использования атакующему требуются действительные учётные данные администратора, потенциальные последствия оцениваются как катастрофические, что и обусловило высший уровень критичности.
Технический анализ выявил две независимые проблемы. Атакующим не нужно объединять их для успешного нападения, каждая представляет отдельную опасность. Наиболее серьёзной является уязвимость, получившая идентификатор CVE-2026-20147 с рекордным баллом CVSS 9.9. Она классифицируется как ошибка, приводящая к выполнению удалённого кода. Причина кроется в недостаточной проверке вводимых пользователем данных. Отправляя специально сформированные HTTP-запросы на уязвимое устройство, злоумышленник может выполнить произвольные команды на уровне операционной системы. При этом начальный доступ с правами пользователя легко эскалируется до привилегий суперпользователя. Кроме того, в развёртываниях с одним узлом ISE данная эксплуатация может вызвать полный отказ в обслуживании, заблокировав неаутентифицированные конечные точки в сети до полного восстановления узла.
Вторая проблема, CVE-2026-20148, оценена как уязвимость средней опасности с баллом CVSS 4.9. Это классическая ошибка типа "обход пути", также вызванная некорректной проверкой входных данных. Аутентифицированный злоумышленник может, отправляя определённые HTTP-запросы, обойти ограничения каталогов и прочитать любые конфиденциальные файлы, хранящиеся в базовой операционной системе устройства. Хотя эта уязвимость не позволяет напрямую выполнять код, утечка критических файлов, таких как файлы конфигурации, хэши паролей или сертификаты, может стать ключевым этапом для дальнейшей атаки и закрепления в системе.
Текущая ситуация не оставляет пространства для манёвра. Cisco подтвердила, что на данный момент не существует доступных временных обходных путей или мер для предотвращения эксплуатации этих уязвимостей. Единственным эффективным решением является немедленная установка официальных обновлений программного обеспечения. Компания опубликовала чёткие инструкции по исправлению для всех поддерживаемых версий. Администраторам, использующим версии 3.1, 3.2, 3.3, 3.4 и 3.5, необходимо установить соответствующие патчи. Системы, работающие на устаревших версиях ранее 3.1, требуют немедленной миграции на поддерживаемую и исправленную версию. Промедление с установкой этих обновлений создаёт неприемлемый риск для всей корпоративной сети.
Эти критические уязвимости были независимо обнаружены и сообщены в Cisco исследователем в области безопасности Джонатаном Лейном из TrendAI Research. На момент публикации бюллетеня группа реагирования на инциденты безопасности продуктов Cisco заявила, что ей не известно о существовании публичных эксплойтов или активной злонамеренной эксплуатации в реальных условиях. Однако, учитывая исключительно высокий балл уязвимости CVE-2026-20147, эксперты единодушно призывают команды кибербезопасности расценивать установку этих патчей как наивысший приоритет в своём цикле управления уязвимостями. Опыт показывает, что после выхода исправлений злоумышленники часто проводят обратную разработку, чтобы создать инструменты для атаки на ещё не обновлённые системы. В данном случае цена промедления может быть чрезвычайно высока, учитывая центральную роль Cisco ISE в обеспечении безопасности периметра и внутренней сети.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20147
- https://www.cve.org/CVERecord?id=CVE-2026-20148
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-rce-traversal-8bYndVrZ
