Kritické bezpečnostné zraniteľnosti v Cisco Identity Services Engine

Spoločnosť Cisco vydala bezpečnostné aktualizácie pre svoj produkt Cisco Identity Services Engine a Cisco Identity Services Engine – Passive Identity Connector, ktoré opravujú 2 kritické zraniteľnosti. Zraniteľnosti s označením CVE-2025-20124 a CVE-2025-20125 možno zneužiť na vzdialené vykonanie príkazov, eskaláciu privilégií, vykonanie neoprávnených zmien v systéme a zneprístupnenie služby.

Zraniteľné systémy:

• Cisco Identity Services Engine (ISE) vo verziách starších ako 3.0 (vrátane)
• Cisco Identity Services Engine (ISE) 3.1 vo verziách starších ako 3.1P10
• Cisco Identity Services Engine (ISE) 3.2 vo verziách starších ako 3.2P7
• Cisco Identity Services Engine (ISE) 3.3 vo verziách starších ako 3.3P4

Opis zraniteľnosti:

CVE-2025-20124 (CVSS skóre: 9,9)

Kritická CVE-2025-20124 sa nachádza v API rozhraní Cisco ISE a ISE-PIC a spočíva v nezabezpečenej deserializácii bajtových prúdov Java (eng. byte streams). Vzdialený autentifikovaný útočník by ju zaslaním špeciálne vytvorených serializovaných objektov Java cez API mohol zneužiť na eskaláciu privilégií a vzdialené vykonanie príkazov v kontexte používateľa root.

CVE-2025-20125 (CVSS skóre: 9,1)

Zraniteľnosť v API rozhraní spočíva v chýbajúcej autorizácii vybraných koncových bodov API a nesprávnom overovaní používateľských vstupov. Zaslaním špeciálne vytvorených HTTP požiadaviek ju možno zneužiť na získanie neoprávneného prístupu k citlivým údajom, modifikáciu konfigurácie zariadenia alebo vyvolanie jeho reštartu.

Pozn.: Úspešné zneužitie predmetných zraniteľností vyžaduje znalosť platných prihlasovacích údajov pre ľubovoľné administrátorské účty na ISE, pričom postačujú aj účty s read-only oprávneniami.

Možné škody:

• Vzdialené vykonanie príkazov
• Eskalácia privilégií
• Neoprávnený prístup k citlivým údajom
• Neoprávnená zmena v systéme
• Zneprístupnenie služby

Odporúčania:

Spoločnosť Cisco odporúča bezodkladnú aktualizáciu zraniteľných inštancií Cisco Identity Services Engine na verzie 3.1P10, 3.2P7, 3.3P4 alebo 3.4.

Zdroje:

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-multivuls-FTW9AOXF
• https://www.bleepingcomputer.com/news/security/critical-cisco-ise-bug-can-let-attackers-run-commands-as-root/