В июле 2025 года мировое сообщество кибербезопасности столкнулось с критическим раскрытием серьезной уязвимости в Cisco Identity Services Engine (ISE), которая получила максимальную оценку опасности — 10 из 10. Уязвимость, зарегистрированная под кодом CVE-2025-20337, способна позволить удаленному злоумышленнику, даже без предварительной аутентификации, выполнить произвольный код или получить права root на уязвимом устройстве. Это представляет серьезную угрозу для организаций, использующих Cisco ISE для управления безопасностью и аутентификацией в корпоративных сетях. Cisco Identity Services Engine — это критический компонент инфраструктуры, обеспечивающий централизованное управление политиками доступа, аутентификацией пользователей и устройств в корпоративных сетях. Безопасность этого программного продукта напрямую влияет на целостность и защиту корпоративных данных.
Соответственно, выявление уязвимостей такого масштаба вызывает серьезную тревогу. Суть проблемы заключается в отсутствии достаточной проверки входящих данных, поступающих через API. Злоумышленник может направить специально сконструированный запрос к API, обойти процесс аутентификации и внедрить вредоносные команды на уровне системы. Возможные последствия варьируются от загрузки и запуска вредоносных файлов до полного захвата контроля над сервером с присвоением прав администратора. Исследование уязвимости было проведено японским специалистом по кибербезопасности Кентаро Каванэ из GMO Cybersecurity by Ierae и своевременно передано программе обнаружения нулевых дней Trend Micro Zero Day Initiative (ZDI).
Благодаря слаженной работе исследователей и поставщика ПО Cisco, появилась возможность оперативного реагирования и выпуска исправлений. Важно подчеркнуть, что эта уязвимость появилась в релизах Cisco ISE версий 3.3 и 3.4 и не затрагивает более ранние версии 3.2 и ниже.
Кроме того, в ходе обновления безопасности были рассмотрены связанные уязвимости CVE-2025-20281 и CVE-2025-20282, также относящиеся к удалённому выполнению кода, две из которых уже получили максимальную критичность. Несмотря на схожесть по механизму атаки, каждая из трех уязвимостей может быть использована независимо друг от друга, что усиливает масштаб потенциальной угрозы. В условиях современной кибератаки, когда хакеры все чаще применяют многоступенчатые и автоматизированные методы компрометации систем, наличие таких критических уязвимостей в фундаментальной инфраструктуре способно привести к масштабным инцидентам: от потери чувствительных данных до полного нарушения работы корпоративной сети. Cisco официально заявила, что патчи, выпущенные для устранения уязвимостей CVE-2025-20281 и CVE-2025-20282, не закрывают пробелы, вызываемые CVE-2025-20337. Это означает, что администраторы, которые ранее обновляли системы лишь частично, не защищены от новой угрозы и должны применить обновления, начиная с версии ISE 3.
3 Patch 7 или ISE 3.4 Patch 2, чтобы полностью обезопасить свое окружение. При этом отсутствуют любые обходные пути или временные меры для снижения рисков, кроме как немедленно выполнить обновление на рекомендованные патчи. Для крупных организаций, где обновление сетевого программного обеспечения связано с необходимостью тестирования и проверки совместимости, рекомендация быть подготовленными и оперативно реагировать является критически важной для предотвращения возможных атак. Параллельно с этим Cisco выпустила ряд обновлений для других своих продуктов, в том числе Unified Intelligence Center и Prime Infrastructure, с целью устранения менее опасных, но все еще значимых уязвимостей, таких как возможность загрузки произвольных файлов, атаки типа слепого SQL-инъекций, обход IP-ограничений и SSRF-атаки.
В совокупности эти меры демонстрируют усилия компании по укреплению безопасности и минимизации рисков на всех фронтах. Неопытным пользователям и организациям важно понимать, что системная безопасность — это комплексный процесс. Даже если ваши ресурсы не были напрямую взломаны сегодня, наличие подобных уязвимостей в основных компонентах сети оставляет очень серьезные ворота для потенциальных атак в ближайшем будущем. Поэтому своевременный мониторинг публикаций о безопасности, регулярное проведение аудитов и немедленное применение официальных обновлений должны стать неотъемлемыми элементами ИТ-политики любой организации. Стоит также учитывать, что перечисленные уязвимости почти наверняка привлекут внимание злоумышленников, которые будут пытаться разработать эксплойты и интегрировать их в инструменты массовых атак.
Отсутствие зарегистрированных случаев эксплуатации на момент публикации новости не должен смущать — чаще всего хакеры анализируют уязвимости после их раскрытия, и активное использование возможных лазеек начинается через короткое время. Технические специалисты должны уделять особое внимание совместимости новых патчей с текущей инфраструктурой, включая аппаратную базу и настройки программных компонентов. Высокие требования к памяти и ресурсам при установке новых исправлений могут повлиять на производительность и стабильность системы, поэтому предварительное тестирование в изолированной среде является обязательным шагом. Для руководителей и IT-директоров имеет смысл инициировать план по обновлению программного обеспечения на всех критических узлах сети, вовлекая профильные команды и внешних консультантов при необходимости. Не только уровень ИТ-специалистов, но и информирование персонала о текущих угрозах способствует формированию более сильной и готовой к атакам организации.
В целом, ситуация с уязвимостью CVE-2025-20337 в Cisco ISE стала очередным напоминанием о необходимости непрерывного совершенствования практик кибербезопасности и быстрого реагирования на выявленные угрозы. Комплексность и многослойность современной IT-инфраструктуры требует постоянного внимания к деталям и проактивного подхода, чтобы минимизировать риски и обезопасить критически важные сервисы от возможных атак. Для тех, кто использует Cisco ISE, ключевое сообщение — проверить текущую версию ПО, свериться с официальным списком уязвимостей и патчей, запланировать обновление на официально рекомендованные версии 3.3 Patch 7 или 3.4 Patch 2 и распланировать дальнейшие процессы мониторинга безопасности.
Пренебрежение этими мерами может привести к катастрофическим последствиям и серьезным финансовым потерям. Несмотря на напряжённую ситуацию, выявление и оперативное устранение подобных уязвимостей демонстрирует важность сотрудничества исследователей, компаний-разработчиков и сообщества специалистов по безопасности, благодаря которому удаётся своевременно снизить угрозы и защитить критическую инфраструктуру современной цифровой экономики.
