Хакер #315. Positive Hack Days Fest 3
Компания Cisco предупредила о двух критических RCE-уязвимостях, которые не требуют аутентификации и затрагивают Cisco Identity Services Engine (ISE) и Passive Identity Connector (ISE-PIC).
Уязвимости получили идентификаторы CVE-2025-20281 и CVE-2025-20282, а также набрали максимальные 10 баллов из 10 возможных по шкале CVSS. Первая проблема затрагивает ISE и ISE-PIC версий 3.4 и 3.3, а вторая — только версию 3.4.
Первопричиной CVE-2025-20281 являлась недостаточная валидация пользовательского ввода в доступном API. Это позволяло удаленному неаутентифицированному злоумышленнику отправлять специально подготовленные API-запросы для выполнения произвольных команд от лица root-пользователя.
Вторая проблема, CVE-2025-20282, была вызвана недостаточной проверкой файлов во внутреннем API, что позволяло записывать файлы в привилегированные каталоги. Этот баг позволял удаленным неаутентифицированным злоумышленникам загружать произвольные файлы в целевую систему и выполнять их с привилегиями root.
Платформа Cisco Identity Services Engine (ISE) предназначена для управления политиками сетевой безопасности и контроля доступа, и обычно выступает в качестве средства контроля сетевого доступа (NAC), управления идентификацией и применения политик. Этот продукт является ключевым элементом корпоративной сети, и его часто используют крупные предприятия, правительственные организации, университеты и поставщики услуг.
Специалисты Cisco сообщают, что пока случаев активной эксплуатации свежих уязвимостей не обнаружено (равно как и публично доступных эксплоитов), но всем пользователям рекомендуется установить обновления как можно быстрее.
Пользователям следует обновиться до версии 3.3 Patch 6 (ise-apply-CSCwo99449_3.3.0.430_patch4) и 3.4 Patch 2 (ise-apply-CSCwo99449_3.4.0.608_patch1) или более поздних. Никаких обходных путей, позволяющих устранить проблемы без установки патчей, не существует.
