Сетевой щит Cisco дал трещину — баги открывают root-доступ быстрее, чем выходят обновления
NewsMakerКомпания только выпустила патчи. Но что, если в вашей сети уже сидит импостор?
Корпорация Cisco выпустила обновления для устранения двух опаснейших уязвимостей в своих решениях для сетевой безопасности. Обе проблемы затрагивают Cisco Identity Services Engine (ISE) и связанный с ним компонент ISE Passive Identity Connector (ISE-PIC). С их помощью злоумышленники могут получить полный контроль над уязвимыми устройствами, выполняя произвольный код от имени суперпользователя.
Уязвимости получили идентификаторы CVE-2025-20281 и CVE-2025-20282. Обе Cisco оценила на максимальные 10 баллов по шкале опасности CVSS. Однако Национальная база данных уязвимостей (NVD) снизила оценку первой из них до 9.8, что не умаляет её серьёзности.
Программный комплекс Cisco ISE используется для контроля доступа к корпоративным сетям. Он может быть установлен как на выделенных серверах, так и на виртуальных машинах или в облачных средах. Компонент ISE-PIC служит для сбора информации об учетных данных пользователей и передачи её другим системам безопасности, что делает его ключевым элементом в инфраструктуре идентификации и авторизации.
Cisco отдельно подчёркивает, что эти две уязвимости не связаны между собой и могут эксплуатироваться независимо. Взлом одной из них никак не влияет на возможность эксплуатации другой.
Первая уязвимость , CVE-2025-20281, затрагивает версии ISE и ISE-PIC 3.3 и 3.4. В более ранних релизах проблемы не обнаружено. Как поясняют специалисты, сбой связан с недостаточной проверкой пользовательских данных, поступающих через API. Злоумышленник может отправить специально подготовленный запрос к API, даже не обладая учетными данными или доступом в систему, и таким образом получить привилегии root — полный административный доступ к устройству.
Вторая проблема, CVE-2025-20282, также затрагивает внутренний API, но механизм её эксплуатации иной. Здесь уязвимость связана с отсутствием проверки загружаемых файлов. В результате атакующий может загрузить на устройство вредоносный файл и разместить его в защищённых системных каталогах. После этого появляется возможность выполнить произвольный код или снова получить root-доступ. Однако в данном случае проблема обнаружена только в версии 3.4. Более старые версии, включая 3.3, этой конкретной уязвимости не подвержены.
Пока ни одной из уязвимостей в реальных атаках замечено не было. Однако подробности об их техническом устройстве Cisco предпочла не раскрывать, чтобы дать администраторам время для установки обновлений и избежать волны атак.
В компании уже подготовили патчи для всех затронутых версий. Для устранения CVE-2025-20281 рекомендуется обновиться как минимум до версии 3.3 с патчем 6 или до версии 3.4 с патчем 2. Вторая уязвимость требует обязательного обновления до версии 3.4 патч 2 — это единственный способ закрыть дыру, поскольку более ранние версии этой конкретной проблеме не подвержены.
Отдельно подчёркивается, что версии 3.2 и более ранние не уязвимы для описанных багов, но обладают собственными известными недостатками безопасности, поэтому Cisco советует всем пользователям по возможности переходить на актуальные версии.
Подобная ситуация с критическими сбоями в API компонентов ISE и ISE-PIC уже возникала ранее в этом году. Тогда уязвимости также получали максимальные рейтинги опасности и позволяли злоумышленникам атаковать систему. Однако для их эксплуатации требовались учётные данные с правами администратора (пусть и ограниченными, только для чтения), что серьёзно усложняло работу хакеров . В новом же случае достаточно направленного запроса или загрузки файла — без какой-либо аутентификации.
Эти события ещё раз подтверждают, насколько уязвимыми могут быть даже тщательно продуманные системы безопасности, если сбои закрадываются на уровне внутреннего взаимодействия компонентов. Это не первый случай обнаружения критических уязвимостей Cisco в API систем управления, позволяющих получить полный контроль над устройствами. Ситуация особенно тревожна на фоне общего роста атак на API , которые впервые стали главной мишенью киберпреступников. Недостатки в контроле доступа через API становятся ключевым вектором современных атак. Разработчики настоятельно рекомендуют не откладывать установку исправлений.
Корпорация Cisco выпустила обновления для устранения двух опаснейших уязвимостей в своих решениях для сетевой безопасности. Обе проблемы затрагивают Cisco Identity Services Engine (ISE) и связанный с ним компонент ISE Passive Identity Connector (ISE-PIC). С их помощью злоумышленники могут получить полный контроль над уязвимыми устройствами, выполняя произвольный код от имени суперпользователя.
Уязвимости получили идентификаторы CVE-2025-20281 и CVE-2025-20282. Обе Cisco оценила на максимальные 10 баллов по шкале опасности CVSS. Однако Национальная база данных уязвимостей (NVD) снизила оценку первой из них до 9.8, что не умаляет её серьёзности.
Программный комплекс Cisco ISE используется для контроля доступа к корпоративным сетям. Он может быть установлен как на выделенных серверах, так и на виртуальных машинах или в облачных средах. Компонент ISE-PIC служит для сбора информации об учетных данных пользователей и передачи её другим системам безопасности, что делает его ключевым элементом в инфраструктуре идентификации и авторизации.
Cisco отдельно подчёркивает, что эти две уязвимости не связаны между собой и могут эксплуатироваться независимо. Взлом одной из них никак не влияет на возможность эксплуатации другой.
Первая уязвимость , CVE-2025-20281, затрагивает версии ISE и ISE-PIC 3.3 и 3.4. В более ранних релизах проблемы не обнаружено. Как поясняют специалисты, сбой связан с недостаточной проверкой пользовательских данных, поступающих через API. Злоумышленник может отправить специально подготовленный запрос к API, даже не обладая учетными данными или доступом в систему, и таким образом получить привилегии root — полный административный доступ к устройству.
Вторая проблема, CVE-2025-20282, также затрагивает внутренний API, но механизм её эксплуатации иной. Здесь уязвимость связана с отсутствием проверки загружаемых файлов. В результате атакующий может загрузить на устройство вредоносный файл и разместить его в защищённых системных каталогах. После этого появляется возможность выполнить произвольный код или снова получить root-доступ. Однако в данном случае проблема обнаружена только в версии 3.4. Более старые версии, включая 3.3, этой конкретной уязвимости не подвержены.
Пока ни одной из уязвимостей в реальных атаках замечено не было. Однако подробности об их техническом устройстве Cisco предпочла не раскрывать, чтобы дать администраторам время для установки обновлений и избежать волны атак.
В компании уже подготовили патчи для всех затронутых версий. Для устранения CVE-2025-20281 рекомендуется обновиться как минимум до версии 3.3 с патчем 6 или до версии 3.4 с патчем 2. Вторая уязвимость требует обязательного обновления до версии 3.4 патч 2 — это единственный способ закрыть дыру, поскольку более ранние версии этой конкретной проблеме не подвержены.
Отдельно подчёркивается, что версии 3.2 и более ранние не уязвимы для описанных багов, но обладают собственными известными недостатками безопасности, поэтому Cisco советует всем пользователям по возможности переходить на актуальные версии.
Подобная ситуация с критическими сбоями в API компонентов ISE и ISE-PIC уже возникала ранее в этом году. Тогда уязвимости также получали максимальные рейтинги опасности и позволяли злоумышленникам атаковать систему. Однако для их эксплуатации требовались учётные данные с правами администратора (пусть и ограниченными, только для чтения), что серьёзно усложняло работу хакеров . В новом же случае достаточно направленного запроса или загрузки файла — без какой-либо аутентификации.
Эти события ещё раз подтверждают, насколько уязвимыми могут быть даже тщательно продуманные системы безопасности, если сбои закрадываются на уровне внутреннего взаимодействия компонентов. Это не первый случай обнаружения критических уязвимостей Cisco в API систем управления, позволяющих получить полный контроль над устройствами. Ситуация особенно тревожна на фоне общего роста атак на API , которые впервые стали главной мишенью киберпреступников. Недостатки в контроле доступа через API становятся ключевым вектором современных атак. Разработчики настоятельно рекомендуют не откладывать установку исправлений.