Cisco Systems, Wild’daki saldırganlar tarafından aktif olarak sömürülen kimlik hizmetleri motorunda (ISE) birden fazla uzaktan kod yürütme güvenlik açıkları hakkında kritik bir güvenlik danışma uyarısı yayınladı.
Maksimum CVSS şiddet puanı 10.0 taşıyan güvenlik açıkları, kimlik doğrulanmamış uzak saldırganların etkilenen sistemlerde kök ayrıcalıkları olan keyfi komutlar yürütmesine izin verir.
Ağ devi, CVE-2025-20281, CVE-2025-20282 ve CVE-2025-20337 olarak izlenen üç ayrı güvenlik açıkını açıkladı ve bunların hepsi Cisco Ise ve Ise pasif kimlik konnektör (ISE-PIC) dağıtımlarını etkiledi.
Şirketin Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), Temmuz 2025’te bu güvenlik açıklarının bazılarının aktif saldırılarda kullanılmadığını ve kuruluşların hemen yamalar uygulamasını isteyen acil çağrılara neden olduğunu doğruladı.
Cisco Ise RCE güvenlik açığı vahşi doğada sömürüldü
En şiddetli güvenlik açıkları, CVE-2025-20281 ve CVE-2025-20337, ISE sürümleri 3.3 ve 3.4 içindeki belirli API’larda kullanıcı tarafından sağlanan girdilerin yetersiz doğrulanmasından kaynaklanmaktadır.
Bu kusurlar, saldırganların herhangi bir kimlik doğrulaması olmadan hazırlanmış API talepleri göndermelerine ve potansiyel olarak hedeflenen sistemlere kök erişimi kazanmasına izin verir. Üçüncü güvenlik açığı olan CVE-2025-20282, yalnızca ISE sürüm 3.4’ü etkiler ve uygun dosya doğrulama kontrollerinden yoksun bir dahili API içerir.
Cisco, “Bir saldırgan hazırlanmış bir API talebi göndererek bu güvenlik açıklarından yararlanabilir” dedi. “Başarılı bir istismar, saldırganın etkilenen bir cihazda kök ayrıcalıkları almasına izin verebilir.”
CVE-2025-20282 Kusur, saldırganların ayrıcalıklı dizinlere keyfi dosyaları yüklemelerini ve daha sonra bunları kök izinleri ile yürütmelerini sağlar.
Her üç güvenlik açığı da ortak zayıflık numaralandırma kategorileri CWE-269 (uygunsuz ayrıcalık yönetimi) ve CWE-74 (bir aşağı akış bileşeni tarafından kullanılan çıktıdaki özel unsurların uygunsuz nötrleştirilmesi) altında temel güvenlik tasarım sorunlarını vurgulamaktadır.
Cisco, bu güvenlik açıkları için hiçbir geçici çözüm bulunmadığını ve hemen tek uygulanabilir savunma stratejisi yapmasını sağladı. Şirket, eksik bulunan ilk yamaların ardından gelişmiş sabit sürümler yayınladı.
ISE Sürüm 3.4 Yama 2’yi çalıştıran kuruluşlar, bu sürüm gerekli tüm düzeltmeleri içerdiğinden başka bir işlem gerektirmez. Ancak, ISE Sürüm 3.3 Patch 6’yı çalıştıran sistemler, tam koruma için Sürüm 3.3 Yama 7’ye yükseltilmelidir.
| Cisco Ise veya Ise-Pic sürümü | CVE-2025-20281 için ilk sabit sürüm | CVE-2025-20282 için ilk sabit sürüm | CVE-2025-20337 için ilk sabit sürüm |
|---|---|---|---|
| 3.2 ve önceki | Savunmasız değil | Savunmasız değil | Savunmasız değil |
| 3.3 | 3.3 Yama 7 | Savunmasız değil | 3.3 Yama 7 |
| 3.4 | 3.4 Yama 2 | 3.4 Yama 2 | 3.4 Yama 2 |
Cisco, özellikle önceki sıcak yamaların (Ise-Apply-cscwo99449_3.0.430_patch4-spa.tar.gz ve Isee-Apply-cscwo9449_3.4.0.608_patch1-ssa.tar.gz) CVE-2025-2037’de başarısız olduğu ve dağıtımdan kaynaklandığı konusunda uyardı.
Aktif sömürü
Yabancı sömürünün teyidi, bu güvenlik sorununun aciliyetini önemli ölçüde artırır.
Cisco Ise, dünya çapında kuruluşlar tarafından cihaz kimlik doğrulamasını ve yetkisini yönetmek için kullanılan kritik bir ağ erişim kontrolü ve politika uygulama platformu olarak hizmet vermektedir. Başarılı bir uzlaşma, saldırganlara geniş ağ görünürlüğü ve kontrol yetenekleri sağlayabilir.
Güvenlik araştırmacıları Bobby Gould Trend Micro Sıfır Günü Girişimi ve IERAE tarafından GDO Siber Güvenliğinden Kentaro Kawane, bu güvenlik açıklarını sorumlu ifşa süreçleri yoluyla keşfetmek ve raporlamakla kredilendirildi.
Cisco, sömürü girişimlerini izlemeye devam ediyor ve etkilenen tüm müşterileri bu güncellemelere öncelik vermeye şiddetle teşvik ediyor.
Kuruluşlar, bu güvenlik açıklarının ve onaylanmış sömürü faaliyetlerinin kritik doğası göz önüne alındığında, organizasyonlar derhal DEE sürümlerini doğrulamalı ve acil durum bakım pencerelerini gerekli yamaları uygulamak için planlamalıdır.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi