CISA, Cisco’nun Kimlik Hizmetleri Motoru’nda (ISE) tehdit aktörlerinin aktif olarak sömürdüğü iki kritik enjeksiyon güvenlik açığı hakkında acil bir uyarı yayınladı.
CVE-2025-20281 ve CVE-2025-20337 olarak izlenen güvenlik açıkları, saldırganların etkilenen sistemlerde kök ayrıcalıklarıyla uzaktan kod yürütülmesine izin verir.
Key Takeaways
1. CISA added two Cisco ISE vulnerabilities (CVE-2025-20281, CVE-2025-20337) to its Known Exploited Vulnerabilities catalog.
2. Attackers can gain root access and execute remote code on Cisco ISE systems.
3. Organizations must patch or discontinue vulnerable products before the deadline.
Cisco ISE ve ISE-PIC ürünlerini kullanan kuruluşlar, CISA’nın bilinen sömürülen güvenlik açıkları kataloğu tarafından zorunlu kılınan gerekli hafifletmeleri uygulamak için 18 Ağustos 2025’e kadar vardır.
Kritik enjeksiyon güvenlik açıkları
Hem CVE-2025-20281 hem de CVE-2025-20337, Cisco ISE ve Cisco ISE-PIC (Kişisel Kimlik Sertifikası) sistemlerinde belirli uygulama programlama arayüzlerini (API) etkileyen enjeksiyon güvenlik açıklarını temsil eder.
Bu güvenlik açıkları, kullanıcı tarafından sağlanan girdinin yetersiz doğrulanmasından kaynaklanmaktadır, bu zayıflık numaralandırması CWE-74 altında sınıflandırılmış, aşağı akış bileşenleri tarafından kullanılan çıktıdaki özel elemanların uygunsuz nötralizasyonunu ele alan temel bir güvenlik kusuru.
Güvenlik açıkları, kötü niyetli aktörlerin normal güvenlik kontrollerini atlayan dikkatle hazırlanmış API isteklerini göndererek sistemi kullanmalarına izin verir.
Bu tür enjeksiyon saldırısı, Cisco Ise dünya çapında kuruluşlar için ağ erişimini kontrol eden merkezi bir politika motoru olarak hizmet verdiğinden, ağ güvenlik altyapısı için önemli bir tehdidi temsil ediyor.
Etkilenen sistemler, ağ kaynakları arasında kullanıcı kimlik doğrulaması, yetkilendirme ve muhasebe (AAA) hizmetlerini yönetmek için kurumsal ortamlarda yaygın olarak dağıtılır.
Bu güvenlik açıklarının başarılı bir şekilde kullanılması, saldırganların etkilenen cihazlarda uzaktan kod yürütme (RCE) yeteneklerine ulaşmalarını sağlar ve potansiyel olarak kök ayrıcalık artışı yoluyla tam idari kontrol elde eder.
Bu erişim düzeyi, tehdit aktörlerinin ağ politikalarını manipüle etmesine, hassas kimlik doğrulama verilerini ayıklamasına ve tehlikeye atılan sistemlerde kalıcı arka kapı oluşturmalarına izin verir.
Bu güvenlik açıkları çok ciddidir, çünkü şifre olmayan birinin kritik ağ altyapı bileşenlerine uzaktan erişmesine izin verir.
Saldırganlar bu kusurları ağ segmentasyon kontrollerini atlamak, kısıtlı ağ segmentlerine erişmek ve potansiyel olarak fidye yazılımlarını dağıtmak veya tehlikeye atılan ortamlarda komut ve kontrol kanalları oluşturmak için kullanabilir.
| CVE | Başlık | CVSS 3.1 puanı | Şiddet |
| CVE-2025-20281 CVE-2025-20337 |
Cisco Kimlik Hizmetleri Motor Enjeksiyon Güvenlik Açığı | 10.0 | Eleştirel |
Hafifletme
CISA’nın bu güvenlik açıklarını KEV kataloğuna dahil etmesi, federal ajanslar ve bulut hizmet sağlayıcıları için Bağlayıcı Operasyonel Direktif (BOD) 22-01 altında zorunlu uyumluluk gereksinimlerini tetikler.
Kuruluşlar, satıcı tarafından sağlanan hafifletmeler uygulamalı, bulut hizmetleri için geçerli BOD 22-01 rehberliğini izlemeli veya yamalar mevcut değilse savunmasız ürünlerin kullanımını durdurmalıdır.
Cisco, ayrıntılı iyileştirme rehberliği sağlayan bir güvenlik danışmanlığı yayınladı. Bu güvenlik açıklarının fidye yazılımı kampanyalarında kullanılıp kullanılmadığı bilinmemekle birlikte, aktif sömürü durumu Cisco ISE dağıtımlarını yöneten güvenlik ekiplerinden derhal dikkat gerektirir.
Kuruluşlar, bu kritik kimlik doğrulama altyapı bileşenlerini hedefleyen potansiyel sömürü girişimlerini tespit etmek için yama çabalarına öncelik vermeli ve ağ izlemesini uygulamalıdır.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi