В Банке данных угроз безопасности информации (BDU) зарегистрированы две критические уязвимости в платформе управления политиками Cisco Identity Services Engine (ISE). Эти уязвимости, получившие идентификаторы BDU:2026-05530 и BDU:2026-05531, позволяют злоумышленнику выполнить произвольный код на уязвимой системе. Обе проблемы уже подтверждены производителем и исправлены в последних обновлениях программного обеспечения.
Детали уязвимостей
Первая уязвимость (BDU:2026-05530, CVE-2026-20180) относится к классу архитектурных. Она классифицируется как "неверное ограничение имени пути к каталогу с ограниченным доступом", более известное как "обход пути" (Path Traversal). По сути, ошибка позволяет атакующему манипулировать путями к файлам и каталогам. В результате он может выйти за пределы предназначенного для него каталога и получить доступ к защищённым системным файлам или загрузить вредоносный код.
Вторая уязвимость (BDU:2026-05531, CVE-2026-20186) является уязвимостью кода. Её причина - "непринятие мер по очистке данных на управляющем уровне", что приводит к возможности внедрения команд (Command Injection). Это означает, что злоумышленник может ввести специально сформированные данные, которые система ошибочно интерпретирует как команды операционной системы. Следовательно, атакующий получает возможность выполнять произвольные команды с привилегиями учетной записи, под которой работает уязвимый процесс.
Оценки по системе CVSS подчёркивают исключительную опасность этих недостатков. Базовая оценка CVSS 3.1 для обеих уязвимостей составляет максимальные 9.9 балла из 10. Это классифицирует их как критические. Согласно векторам CVSS, для эксплуатации уязвимости атакующему требуется доступ к сети, низкая сложность атаки и наличие привилегий обычного пользователя. При этом возможна компрометация всей системы с полным воздействием на конфиденциальность, целостность и доступность данных.
Под угрозой находятся системы Cisco Identity Services Engine версий до 3.2 включительно, а также версии до 3.2 Patch 8, 3.3 Patch 8 и 3.4 Patch 4. Cisco Identity Services Engine - это ключевой компонент для сетевой безопасности. Эта платформа обеспечивает аутентификацию пользователей и устройств, авторизацию доступа и учёт сетевых событий. Компрометация такого решения открывает злоумышленникам широкие возможности. Например, они могут получить контроль над корпоративной сетью, украсть учётные данные или обеспечить себе постоянное присутствие (persistence) в системе для будущих атак.
Эксплуатация подобных уязвимостей часто становится первым шагом для продвинутых групп APT. После получения первоначального доступа злоумышленники могут развернуть вредоносный код (malicious payload), перемещаться по сети в поисках ценных данных или установить программу-шифровальщик (ransomware). Учитывая критичность ISE в инфраструктуре, эти уязвимости представляют собой серьёзный риск для организаций любого масштаба.
К счастью, Cisco оперативно отреагировала на обнаруженные проблемы. Производитель выпустил исправления, и уязвимости официально устранены. Специалистам по информационной безопасности настоятельно рекомендуется немедленно обновить свои системы Cisco ISE до версий, в которых эти ошибки исправлены. Все необходимые патчи и рекомендации опубликованы в официальном бюллетене компании. Соответственно, администраторы должны перейти по ссылке в источнике и следовать инструкциям производителя.
Важно отметить, что на момент публикации данных в BDU информация о наличии активных эксплойтов уточняется. Однако высокая критичность оценки и относительная простота эксплуатации делают вероятным появление инструментов для атаки в ближайшее время. Поэтому задержка с установкой обновлений недопустима. Промедление может привести к серьёзному инциденту безопасности.
В заключение, обнаружение двух критических уязвимостей в Cisco ISE служит очередным напоминанием о важности своевременного управления обновлениями. Особенно это касается критически важных компонентов сетевой инфраструктуры. Регулярный мониторинг источников, таких как BDU и бюллетени вендоров, должен быть неотъемлемой частью работы SOC. Кроме того, данный инцидент иллюстрирует классические векторы атак, такие как обход пути и внедрение команд. Эти векторы по-прежнему остаются эффективными, что подчёркивает необходимость строгой валидации пользовательского ввода и реализации принципа наименьших привилегий на всех уровнях ИТ-систем.
Ссылки
- https://bdu.fstec.ru/vul/2026-05530
- https://bdu.fstec.ru/vul/2026-05531
- https://www.cve.org/CVERecord?id=CVE-2026-20180
- https://www.cve.org/CVERecord?id=CVE-2026-20186
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-rce-4fverepv
