Cisco, Kimlik Hizmetleri Motoru (ISE) ve ISE Pasif Kimlik Konnektörü (ISE-PIC) platformunda iki kritik güvenlik açığını ele alan acil güvenlik yamaları yayınladı.
Her ikisi de mümkün olan en yüksek CVSS şiddet puanı 10.0 taşıyan bu kusurlar, kimlik doğrulanmamış uzak saldırganların kök kullanıcı olarak kötü niyetli komutlar yürütmesine izin verebilir ve etkilenen sistemlerin tam kontrolünü etkili bir şekilde kontrol eder.
Güvenlik açıklarının doğası
CVE-2025-20281 ve CVE-2025-20282 olarak izlenen güvenlik açıkları, Cisco ISE ve ISE-PIC içindeki belirli API’leri hedeflemektedir.
.png
)
Her ikisi de geçerli kimlik bilgileri olmadan kullanılabilir, bu da onları ağ erişim kontrolü ve güvenlik politikası uygulama için bu platformlara güvenen kuruluşlar için özellikle tehlikeli hale getirir.
CVE-2025-20281: API giriş doğrulama kusuru
Bu güvenlik açığı Cisco Ise ve Ise-Pic’i 3.3 ve sonraki sürümleri açıklar. Belirli bir API’daki kullanıcı tarafından sağlanan girdinin yetersiz doğrulanmasından kaynaklanır.
Saldırganlar, hazırlanmış API istekleri göndererek bu kusuru kullanabilir ve temel işletim sisteminde kök ayrıcalıklarıyla keyfi kod yürütmelerini sağlar.
Kimlik doğrulaması gerekmez, yani herhangi bir uzak saldırgan cihaz üzerinde tam kontrol sahibi olabilir.
CVE-2025-20282: Rasgele dosya yükleme ve yürütme
Yalnızca Cisco ISE ve ISE-PIC sürüm 3.4’ü etkileyen bu güvenlik açığı, dahili bir API’daki dosya doğrulama kontrollerinin eksikliğinden kaynaklanmaktadır.
Saldırganlar, ayrıcalıklı dizinlere kötü amaçlı dosyalar yükleyebilir ve tekrar kimlik doğrulamaya gerek kalmadan kök olarak yürütebilir.
Bu, bir saldırganın kötü amaçlı yazılım yüklemesine, backdroors oluşturmasına veya ağdan daha da ödün vermesine izin verebilir.
Etki ve etkilenen versiyonlar
Her iki güvenlik açıkları da kritik ve bağımsız olarak kabul edilir; Birinden yararlanmak diğerinden yararlanmayı gerektirmez ve etkilenen yazılım sürümleri her kusur için farklılık gösterebilir.
Şu anda bu güvenlik açıklarının vahşi doğada sömürüldüğüne dair hiçbir rapor yoktur, ancak başarılı sömürü tarafından verilen yüksek ayrıcalık seviyesi nedeniyle risk önemlidir.
- CVE-2025-20281: ISE ve ISE-PIC 3.3 ve üstü (3.3 Yama 6 ve 3.4 Yama 2’de sabit)
- CVE-2025-20282: Yalnızca Ise ve Ise-Pic 3.4 (3.4 Yama 2’de sabit)
- ISE ve ISE-PIC 3.2 ve daha önce etkilenmez.
Cisco, bu güvenlik açıkları için hiçbir geçici çözüm olmadığını doğruladı. Tek hafifletme, sağlanan yazılım güncellemelerini hemen uygulamaktır.
Yöneticiler, dağıtımlarını gözden geçirmeye ve potansiyel sömürü önlemek için etkilenen tüm sistemleri gecikmeden yama yapmaları şiddetle tavsiye edilir.
| CVE kimliği | Tanım | Etkilenen sürümler | CVSS Puanı |
| CVE-2025-20281 | API giriş doğrulama kusuru, kimlik doğrulanmamış RCE’yi etkinleştirir | Ise/Ise-Pic 3.3 ve sonraki | 10.0 |
| CVE-2025-20282 | Dahili API aracılığıyla keyfi dosya yükleme ve yürütme | Yalnızca Ise/Ise-Pic 3.4 | 10.0 |
Cisco Ise veya Ise-Pic kullanan kuruluşlar şunları yapmalıdır:
- Etkilenen sürümleri hemen tanımlayın.
- Cisco tarafından önerilen en son yamaları uygulayın.
- Cisco’nun güncellemeler için güvenlik danışmanlarını izleyin.
Harekete geçilmemesi, kritik ağ altyapısını saldırganlar tarafından tam uzaktan devralmaya maruz bırakabilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin