Η Cisco έχει επιδιορθώσει μια ευπάθεια στη λύση ελέγχου πρόσβασης δικτύου της Identity Services Engine (ISE), με δημόσιο κώδικα εκμετάλλευσης απόδειξης ιδέας, που μπορεί να γίνει κατάχρηση από εισβολείς με δικαιώματα διαχειριστή.
Οι διαχειριστές επιχειρήσεων χρησιμοποιούν το Cisco ISE για τη διαχείριση της πρόσβασης τελικού σημείου, χρήστη και συσκευής στους πόρους δικτύου, ενώ παράλληλα επιβάλλουν μια αρχιτεκτονική μηδενικής εμπιστοσύνης.
Το ελάττωμα ασφαλείας (CVE-2026-20029) επηρεάζει το Cisco Identity Services Engine (ISE) και το Cisco ISE Passive Identity Connector (ISE-PIC) ανεξάρτητα από τη διαμόρφωση της συσκευής και οι απομακρυσμένοι εισβολείς με υψηλά προνόμια μπορούν να το εκμεταλλευτούν για να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες σε μη επιδιορθωμένες συσκευές.
“Αυτή η ευπάθεια οφείλεται σε ακατάλληλη ανάλυση της XML που υποβάλλεται σε επεξεργασία από τη διεπαφή διαχείρισης που βασίζεται στον ιστό των Cisco ISE και Cisco ISE-PIC. Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αυτήν την ευπάθεια ανεβάζοντας ένα κακόβουλο αρχείο στην εφαρμογή.” είπε η Cisco.
“Μια επιτυχημένη εκμετάλλευση θα μπορούσε να επιτρέψει στον εισβολέα να διαβάσει αυθαίρετα αρχεία από το υποκείμενο λειτουργικό σύστημα που θα μπορούσαν να περιλαμβάνουν ευαίσθητα δεδομένα που διαφορετικά θα ήταν απρόσιτα ακόμη και στους διαχειριστές. Για να εκμεταλλευτεί αυτή την ευπάθεια, ο εισβολέας πρέπει να διαθέτει έγκυρα διαπιστευτήρια διαχείρισης.”
Ενώ η Ομάδα Αντιμετώπισης Περιστατικών Ασφάλειας Προϊόντων της Cisco (PSIRT) δεν βρήκε στοιχεία ενεργητικής εκμετάλλευσης, προειδοποίησε ότι μια εκμετάλλευση απόδειξης της ιδέας (PoC) είναι διαθέσιμη στο διαδίκτυο.
Η Cisco θεωρεί “οποιεσδήποτε λύσεις και μετριασμούς (εάν υπάρχουν) ως προσωρινές λύσεις” και είπε ότι “συνιστά ανεπιφύλακτα στους πελάτες να κάνουν αναβάθμιση στο σταθερό λογισμικό” για να “αποφύγουν μελλοντική έκθεση” και να αντιμετωπίσουν πλήρως αυτήν την ευπάθεια.
| Έκδοση Cisco ISE ή ISE-PIC | Πρώτη Σταθερή Έκδοση |
|---|---|
| Νωρίτερα από 3.2 | Μετεγκατάσταση σε σταθερή έκδοση. |
| 3.2 | 3.2 Ενημερωμένη έκδοση κώδικα 8 |
| 3.3 | 3.3 Ενημερωμένη έκδοση κώδικα 8 |
| 3.4 | 3.4 Ενημερωμένη έκδοση κώδικα 4 |
| 3.5 | Όχι ευάλωτο. |
Την Τετάρτη, η Cisco επίσης αντιμετώπισε πολλαπλά τρωτά σημεία του IOS XE που επιτρέπουν σε μη επαληθευμένους, απομακρυσμένους εισβολείς να επανεκκινήσουν το Snort 3 Detection Engine για να ενεργοποιήσουν μια άρνηση υπηρεσίας ή να λάβουν ευαίσθητες πληροφορίες στη ροή δεδομένων Snort. Ωστόσο, το Cisco PSIRT δεν βρήκε κανέναν δημόσια διαθέσιμο κώδικα εκμετάλλευσης και κανένα σημάδι ότι οι φορείς απειλής τον εκμεταλλεύονται στη φύση.
Τον Νοέμβριο, η ομάδα πληροφοριών απειλών της Amazon προειδοποίησε ότι οι χάκερ εκμεταλλεύτηκαν μια μέγιστης σοβαρότητας Cisco ISE zero-day (CVE-2025-20337) για να αναπτύξουν προσαρμοσμένο κακόβουλο λογισμικό. Όταν το διορθώθηκε τον Ιούλιο, η Cisco προειδοποίησε ότι το CVE-2025-20337 θα μπορούσε να γίνει αντικείμενο εκμετάλλευσης για να επιτραπεί σε μη επιβεβαιωμένους εισβολείς να εκτελέσουν αυθαίρετο κώδικα ή να αποκτήσουν δικαιώματα root σε ευάλωτες συσκευές.
Τις επόμενες δύο εβδομάδες, η Cisco ενημέρωσε τη συμβουλευτική της για να προειδοποιήσει ότι το CVE-2025-20337 ήταν υπό ενεργή εκμετάλλευση και ο ερευνητής Bobby Gould (ο οποίος ανέφερε το ελάττωμα) δημοσίευσε τον κώδικα εκμετάλλευσης απόδειξης της ιδέας.
Η Cisco προειδοποίησε επίσης τους πελάτες τον Δεκέμβριο ότι μια κινεζική ομάδα απειλών που παρακολουθείται ως UAT-9686 εκμεταλλεύεται μια μέγιστης σοβαρότητας Cisco AsyncOS zero-day (CVE-2025-20393) που εξακολουθεί να περιμένει μια ενημέρωση κώδικα σε επιθέσεις που στοχεύουν το Secure Email and Web Manager (SEWM) και την εφαρμογή SecurewaysSEG.
Μέχρι να κυκλοφορήσουν οι ενημερώσεις ασφαλείας CVE-2025-20393, η Cisco συμβουλεύει τους πελάτες να ασφαλίζουν και να περιορίζουν την πρόσβαση σε ευάλωτες συσκευές περιορίζοντας τις συνδέσεις σε αξιόπιστους κεντρικούς υπολογιστές, περιορίζοντας την πρόσβαση στο διαδίκτυο και τοποθετώντας τους πίσω από τείχη προστασίας για να φιλτράρουν την κυκλοφορία.
Είτε καθαρίζετε παλιά κλειδιά είτε τοποθετείτε προστατευτικά κιγκλιδώματα για κώδικα που δημιουργείται από AI, αυτός ο οδηγός βοηθά την ομάδα σας να χτίζει με ασφάλεια από την αρχή.
Πάρτε το φύλλο εξαπάτησης και αφαιρέστε τις εικασίες από τη διαχείριση μυστικών.
VIA: bleepingcomputer.com
