Cisco, kimlik hizmetleri motorunu (ISE) etkileyen, kimlik hizmetleri motorunu (ISE) etkileyen, kimlik doğrulanmamış uzak saldırganların bir hizmet reddi durumuna neden olmasına izin verebilecek yüksek bir savunmasızlığı açıkladı.
CVE-2025-20152 olarak tanımlanan güvenlik açığı, ağ kimlik doğrulama hizmetleri için Cisco Ise’ye dayanan kurumsal ağlar üzerindeki ciddi potansiyel etkisini yansıtan 8.6 CVSS puanı aldı.
Kusur, Cisco Ise’nin yarıçapı mesaj işleme özelliğinde mevcuttur. Cisco’daki güvenlik araştırmacıları, iç güvenlik testi sırasında güvenlik açığını keşfettiler ve Cisco Ürün Güvenliği Olay Yanıt Ekibi’ne (PSIR) göre vahşi doğada hiçbir istismar gözlenmedi.
.png
)
Cisco Ise Radius DOS Güvenlik Açığı
Güvenlik açığı, Cisco ISE platformu tarafından belirli yarıçap taleplerinin uygunsuz ele alınmasından kaynaklanmaktadır.
CWE-125 (sınır dışı okunan) altında sınıflandırılan bu uygulama kusuru, saldırganların etkilenen ISE cihazının tam bir sistem yeniden yüklenmesini tetiklemesini sağlar.
RADIUS hizmetleri Cisco ISE dağıtımlarında varsayılan olarak etkinleştirildiğinden, kimlik doğrulama hizmetleri için TACACS+ ‘ı kullanmadıkça birçok kuruluş savunmasız olabilir.
“Başarılı bir istismar, saldırganın Cisco Ise’nin yeniden yüklenmesine neden olmasına izin verebilir” diyor danışmanlık, ağ erişim kontrolü için ISE’ye güvenen kuruluşlarda hizmet kesintisi potansiyelini vurguluyor.
Bu güvenlik açığı Cisco ISE 3.4’ü etkilerken, 3.3 ve önceki sürümler savunmasız olmadığı doğrulanmıştır.
Bu açıklamanın zamanlaması, bu yılın başlarında yarıçap protokolünde keşfedilen son “Blast-Radius” güvenlik açığı göz önüne alındığında endişeleri gündeme getirmektedir, ancak iki sorun ilgisiz görünmektedir.
Daha önceki güvenlik açığı, yarıçap tarafından kullanılan MD5 kriptografik işlevindeki zayıflıklardan yararlanırken, bu yeni Cisco’ya özgü sorun, ISE içinde RADIUS mesaj işlemesinin uygulanmasını hedeflemektedir.
Sömürü süreci basittir, kimlik doğrulama veya kullanıcı etkileşimi gerektirmez.
Bir saldırgan, kimlik doğrulama, yetkilendirme ve muhasebe (AAA) hizmetleri için Cisco ISE’yi kullanan bir ağ erişim cihazına (NAD) özel olarak hazırlanmış yarıçap kimlik doğrulama istekleri göndererek güvenlik açığını tetikleyebilir.
Teknik kök nedeni, ISE platformunun yarıçap paketlerini nasıl işlediğini içerir. Kırışan kimlik doğrulama isteği NAD aracılığıyla ISE sunucusuna ulaştığında, tam bir yarıçap işlemini yeniden başlatmaya zorlayan uygunsuz bir istisna işleme koşulunu tetikler.
Bu güvenlik açığı özellikle ilgilidir, çünkü RADIUS kimlik doğrulama için 1645/1812 UDP bağlantı noktaları ve saldırıları uzak konumlardan yürütülmesini nispeten kolaylaştıran muhasebe, protokol özellikleri için 1646/1813 kullanarak çalışır.
Ağ erişim kontrolü için en yaygın AAA protokolü olarak yarıçapın genişletilmesi, çok sayıda işletme dağıtımındaki potansiyel etkiyi arttırır.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | RADIUS Kimlik Doğrulama Hizmetleri etkinken Cisco Identity Services Engine (ISE) 3.4. |
| Darbe | Hizmet Reddi (DOS) |
| Önkoşuldan istismar | – RADIUS Kimlik Doğrulama Hizmetleri Etkin (Varsayılan olarak etkin)- Saldırgan kimlik doğrulama veya kullanıcı etkileşimi gerektirmez- Saldırgan bir ağ erişim cihazına (NAD) özel olarak hazırlanmış RADIUS kimlik doğrulama istekleri gönderir |
| CVSS 3.1 puanı | 8.6 (Yüksek) |
Azaltma
Cisco, güvenlik açığını ele almak için sabit bir yazılım sürümü olan ISE 3.4p1 yayınladı ve hiçbir geçici çözüm olmadığı için hemen yama yapmayı şiddetle tavsiye ediyor.
Cisco ISE’yi kullanan kuruluşlar, dağıtım sürümlerini doğrulamalı ve etkilenen sistemleri düzenli güncelleme kanalları aracılığıyla yükseltmelidir.
Güvenlik Bülteni’nde Cisco’ya “Düzenli yazılım güncellemeleri hakkı veren hizmet sözleşmeleri olan müşteriler, normal güncelleme kanalları aracılığıyla güvenlik düzeltmeleri almalıdır” diyor.
Güvenlik uzmanları, kuruluşların yamalar uygularken ek önlemler almasını önerir:
- Maruziyeti sınırlamak için ağ segmentasyonunun uygulanması.
- Şüpheli aktivite için yarıçap kimlik doğrulama günlüklerini izleme.
- Güvenilmeyen ağlardan yarıçap erişimini geçici olarak kısıtlamak.
TACACS+ için Cisco ISE kullanan kuruluşlar sadece bu güvenlik açığından etkilenmez, bu da hemen yama yapmanın mümkün olmadığı ortamlar için potansiyel bir yapılandırma alternatifi sağlar.
Hemen yama, uyanık izleme ve en iyi güvenlik uygulamalarına bağlılık, potansiyel tehditleri azaltmak için gereklidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!