Cisco, kimlik hizmetleri motorunda (ISE) ve ISE Pasif Kimlik Konnektörü’nde (ISE-PIC) yeni keşfedilen güvenlik açıkları hakkında yeni bir güvenlik danışma uyarısı yayınladı ve uzaktan, kimliksiz saldırganların kök ayrıcalıklarına sahip hedeflenen sistemlerde keyfi kod yürütmesine izin verebilecek ciddi güvenlik kusurlarını ortaya koydu. CVE-2025-20337 olarak izlenen bu güvenlik açıklarından en şiddetli olanı, maksimum CVSS skorunu 10.0 taşır.
Bu güvenlik açığı, Cisco’nun sadece haftalar önce yamaladığı CVE-2025-20281 olan başka bir kritik soruna çarpıcı bir şekilde benzer.
“Belirli bir Cisco Ise ve Cisco ISE-PIC’nin belirli bir API’sındaki birden fazla güvenlik açığı, yetkilendirilmemiş, uzaktan saldırganın temel işletim sisteminde kök olarak kullanılmasına izin verebilir. Saldırgan, bu güvenlik açıklıklarını kullanmak için herhangi bir geçerli kimlik bilgisi gerektirmez,” Cisco, 2025 Haziran ayında yayınlandı, 202.
Cisco Güvenlik Açığı CVE-2025-20337
Bu güvenlik açıkları, konfigürasyonlarına bakılmaksızın Cisco Ise ve Ise-Pic sürümleri 3.3 ve 3.4’ü etkiler. Sürüm 3.2 veya daha önceki cihazlar CVE-2025-20337 veya CVE-2025-20281’den etkilenmez. Bu arada, ilgili bir güvenlik açığı olan CVE-2025-20282, sadece sürüm 3.4’ü etkiler.
Cisco’ya göre, bu güvenlik açıklarından yararlanmak için kimlik doğrulaması gerekmez. Tehdit aktörleri, hazırlanmış API istekleri gönderebilir veya kötü amaçlı dosyalar yükleyebilir, böylece işletim sistemi üzerinde tam kontrol sahibi olabilir. Bu, veri açığa çıkması, yan hareket veya ağ altyapısının daha da uzlaşması gibi faaliyetlerin kapısını açar.
Güvenlik açıkları Teknik detaylar
Güvenlik Açıkları CVE-2025-20337 ve CVE-2025-20281, Cisco ISE ve ISE-PIC tarafından kullanılan belirli bir API’da kullanıcı tarafından sağlanan girdilerin yetersiz doğrulanmasından kaynaklanmaktadır ve yetkilendirilmemiş saldırganların kök ayrıcalıklarıyla özel kod uygulamasına neden olabilecek hazırlanmış API talepleri göndermesine izin verir. Hata IDS CSCWO99449 ve CSCWP02814 ile tanımlanan bu kritik kusurlar, CWE-269 (uygunsuz ayrıcalık yönetimi) ve CWE-74 (girişin uygunsuz nötralizasyonu) altında kategorize edilmiştir ve bir CVSS v3.1 baz skorunu 10.0’ın bir vektör ile taşır. AV: N/AC: L/PR: N/UI: N/S: C/C: H/I: H/A: H, etkilenen sistemler üzerindeki ciddi potansiyel etkilerini vurgular.
Güvenlik açığı CVE-2025-20282, Cisco ISE ve ISE-PIC’nin dahili bir API’si içindeki yetersiz dosya doğrulama kontrollerinden kaynaklanır ve uzak saldırganların ayrıcalıklı dizinlere keyfi dosyaları yüklemelerini ve bunları yüksek ayrıcalıklarla yürütmesini sağlar. Hata ID CSCWP02821 ile tanımlanan bu kusur, CVSS V3.1 baz skoru 10.0 ve AV: N/AC: L/PR: N/S: C/C: H/I: H/A: H ile kritik olarak değerlendirilmiştir.
Yama ve Öneriler
Cisco, bu güvenlik açıklarını azaltmak için yazılım güncellemeleri yayınladı. Ancak şirket, şu anda bu konular için hiçbir geçici çözüm bulunmadığını vurgulamıştır. Kuruluşların önerilen sabit sürümlere yükseltmeleri şiddetle tavsiye edilir:
- Cisco Ise 3.4 Yama 2 çalıştırıyorsa, başka bir işlem gerekmez.
- Cisco Ise 3.3 Yama 6 için Yama 7’ye yükseltmek için gereklidir.
- Gibi sıcak yamalar uygulayan kullanıcılar Ise-Apply-cscwo99449_3.0.430_patch4-spa.tar.gz veya Ise-Apply-cscwo99449_3.4.0.608_patch1-spa.tar.gz Bu yamalar CVE-2025-20337’yi azaltmadığından, yükseltilmelidir.
Danışmanlık, bu güvenlik açıklarının birbirinden bağımsız olduğunu, yani her birinin ayrı ayrı sömürülebileceğini belirtiyor. Etkilenen bir salım, üç CVVE’ye karşı savunmasız olmayabilir.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.