В июле 2025 года компания Cisco официально подтвердила активное использование уязвимостей в своих продуктах Identity Services Engine (ISE) и ISE Passive Identity Connector (ISE-PIC) злоумышленниками. Эти критические дыры безопасности позволяют неавторизованным удалённым атакующим получить полный root-доступ к операционной системе, обходя существующую систему аутентификации и контроля доступа. Подобная ситуация вызывает серьёзное беспокойство у специалистов по информационной безопасности, ведь успешная эксплуатация этих уязвимостей может привести к масштабным компрометациям корпоративных сетей и утечкам конфиденциальной информации. Cisco ISE занимает ключевое место в архитектурах защиты корпоративных сетей, отвечая за контроль доступа пользователей и устройств. Нарушение безопасности на этом уровне несёт угрозу для всей инфраструктуры, позволяя злоумышленникам свободно перемещаться внутри сети и выполнять различного рода вредоносные операции.
От атакующих не требуется наличие учётных данных, что существенно облегчает подготовку и проведение атак, повышая риски для организаций. В техническом плане уязвимости CVE-2025-20281, CVE-2025-20337 и CVE-2025-20282 основываются на ошибках в проверке входных данных и недостаточном контроле за загружаемыми файлами. Первые две позволяют через специально сформированные API-запросы выполнять произвольный код с привилегиями root, в то время как третья уязвимость связана с тем, что уязвимая система позволяет загружать вредоносные файлы в защищённые директории и запускать их с максимальными правами. Эксперты по безопасности предупреждают, что отсутствие строгой валидации пользовательских данных и наличие привилегированного контейнера Docker открывают возможности для обхода традиционных защитных мер и реализации полноценного контроля над целевыми системами. В их числе — риск выхода из контейнера и выполнение команд напрямую на хосте, что значительно повышает потенциальный ущерб.
Существование активных эксплойтов указывает на то, что злоумышленники уже успешно используют данные уязвимости в реальных условиях. Несмотря на то, что Cisco не раскрывает подробностей о масштабах атак и идентичности хакеров, сам факт их использования требует немедленных мер со стороны организаций, использующих ISE и ISE-PIC. Чтобы минимизировать риски, важно как можно скорее обновить системы до исправленных версий программного обеспечения, выпущенных Cisco. Это позволит закрыть входы, используемые для удалённого выполнения кода и предотвратить дальнейшее распространение атак. Также рекомендуется внимательно изучить логи систем на предмет подозрительной активности в API и попыток загрузки файлов, особенно если компоненты ISE доступны из внешних сетей.
Кроме того, повышение осведомленности специалистов по безопасности и внедрение комплексных стратегий защиты, включая сегментацию сети, мониторинг и применение принципов наименьших привилегий, помогут снизить вероятность успешной эксплуатации подобных уязвимостей. Противодействие таким атакам требует скоординированных усилий на уровне архитектуры безопасности и оперативного реагирования на инциденты. Важной новостью стало включение CVE-2025-20281 и CVE-2025-20337 в каталог Known Exploited Vulnerabilities (KEV), поддерживаемый американским Агентством по кибербезопасности и безопасности инфраструктуры (CISA). Это обязывает Федеральные агентства обновить свои системы в кратчайшие сроки, подчёркивая серьёзность угрозы и необходимость системности в борьбе с кибератаками. Безопасность современных корпоративных сетей всё больше зависит от способности быстро и эффективно реагировать на появление новых уязвимостей.
