Cisco публикува спешни обновления за сигурността, които коригират три уязвимости, засягащи продуктите Identity Services Engine (ISE) и Customer Collaboration Platform (CCP). И трите уязвимости вече имат публично достъпни експлойти, което значително увеличава риска от атаки срещу засегнатите системи.
Най-сериозната уязвимост: CVE-2025-20286
Най-критичната уязвимост, CVE-2025-20286, е открита от Kentaro Kawane от GMO Cybersecurity. Засегнат е Cisco ISE – ключов продукт, използван за политическо управление на достъпа до крайни устройства и мрежова администрация в корпоративни среди.
Уязвимостта произлиза от неправилно генерирани потребителски данни (статични идентификационни данни) при инсталация на ISE в облачни среди. Това води до еднакви (споделени) креденшъли в различни внедрявания, което улеснява атакуващите.
Възможни последствия при експлоатация:
достъп до чувствителна информация;
извършване на ограничени административни операции;
промяна в конфигурации;
прекъсване на услуги.
Важно уточнение е, че уязвимостта може да бъде експлоатирана само ако т.нар. „Primary Administration“ възел е разположен в облака.
Засегнати среди и необходими действия
Cisco потвърждава, че експлойт код вече е публично достъпен, като уязвими са ISE внедрявания в:
-
Amazon Web Services (AWS)
-
Microsoft Azure
-
Oracle Cloud Infrastructure (OCI)
Невъздействани остават:
-
Всички on-premises инсталации, независимо от формата (ISO, OVA, хардуерен appliance, виртуална машина).
-
ISE в Azure VMware Solution, Google Cloud VMware Engine и VMware Cloud on AWS.
-
Хибридни среди, в които и двата административни възела (Primary и Secondary) са on-premises, а другите роли са в облака.
Препоръчителна временна мярка:
Администраторите, които все още не са приложили пача, могат временно да използват командата:
Тя нулира конфигурацията и паролите на облачния възел, но и връща системата до фабрични настройки, което ще премахне текущата конфигурация. Възстановяването от резервно копие ще върне и оригиналните, уязвими креденшъли, така че този метод трябва да се използва с внимание.
Още две уязвимости с публичен експлойт код
В допълнение на CVE-2025-20286, Cisco коригира още две уязвимости с вече публикуван експлойт код:
-
CVE-2025-20130 — уязвимост за произволно качване на файлове в ISE.
-
CVE-2025-20129 — уязвимост за разкриване на информация в Customer Collaboration Platform (бивш SocialMiner).
Предишни атаки и предупреждения
През септември 2024 г. Cisco вече бе принудена да коригира друга критична уязвимост в ISE — уязвимост за командно инжектиране, която позволяваше ескалация до root привилегии на неактуализирани инсталации.
Наличието на публично достъпни PoC експлойти за новите уязвимости означава, че администраторите трябва незабавно да приложат корекциите, за да защитят своите мрежи от компрометиране.
3аключение
Новите уязвимости в Cisco ISE и CCP подчертават нарастващия риск за сигурността в облачни и хибридни среди. Споделени идентификационни данни, възможности за качване на произволен файл и изтичане на чувствителна информация – това са врати, които киберпрестъпници са готови да използват.
Бързото прилагане на актуализациите е единственият начин за ефективно ограничаване на риска.
