Cisco, bir saldırganın altında yatan işletim sisteminde yüksek ayrıcalıklarla keyfi kod yürütmesine izin verebilecek Kimlik Hizmetleri Motorunu (ISE) ve Cisco ISE Pasif Kimlik Konnektörünü (ISE-PIC) etkileyen yeni bir maksimum-şiddet güvenlik açığı açıkladı.
CVE-2025-20337 olarak izlenen eksiklik, 10.0 CVSS skoru taşır ve geçen ayın sonlarında ağ ekipmanı tarafından yamalanan CVE-2025-20281’e benzer.
Şirket, “Cisco Ise ve Cisco ISE-PIC’nin belirli bir API’sındaki birden fazla güvenlik açığı, kimlik doğrulanmamış, uzaktan saldırganın temel işletim sisteminde kök olarak keyfi kod yürütmesine izin verebilir. Saldırgan, bu güvenlik açıklıklarını kullanmak için herhangi bir geçerli kimlik bilgisi gerektirmez.” Dedi.
“Bu güvenlik açıkları, kullanıcı tarafından sağlanan girdinin yetersiz doğrulanmasından kaynaklanmaktadır. Bir saldırgan, hazırlanmış bir API talebi göndererek bu güvenlik açıklarından yararlanabilir. Başarılı bir istismar, saldırganın etkilenen bir cihazda kök ayrıcalıkları almasına izin verebilir.”
GDO Siber Güvenliğinden Kentaro Kawane, kusurun keşfedilmesi ve raporlanmasıyla kredilendirildi. Kawane daha önce diğer iki kritik Cisco ISE kusuru (CVE-2025-20286 ve CVE-2025-20282) ve Fortinet Fortiweb’de (CVE-2025-25257) başka bir kritik hata için kabul edildi.
CVE-2025-20337, ISE ve ISE-PIC’yi, cihaz yapılandırmasına bakılmaksızın 3.3 ve 3.4’ü serbest bırakır. ISE ve ISE-PIC sürüm 3.2 veya daha önce etkilemez. Sorun aşağıdaki sürümlerde yamalandı –
- Cisco Ise veya Ise-Pic Sürüm 3.3 (3.3 Yama 7’de sabit)
- Cisco Ise veya Ise-Pic Sürüm 3.4 (3.4 Yama 2’de sabit)
Güvenlik açığının kötü niyetli bir bağlamda kullanıldığına dair bir kanıt yoktur. Bununla birlikte, potansiyel tehditlerden kaçınmak için sistemlerin güncel tutulmasını sağlamak her zaman iyi bir uygulamadır.
Açıklama, Shadowserver Foundation’ın tehdit aktörlerinin muhtemelen 11 Temmuz 2025’ten bu yana duyarlı Fortinet Fortiweb örneklerine web mermilerini düşürmesi için CVE-2025-25257 ile ilişkili kamuya açık istismarlardan yararlandığını bildirmesiyle geliyor.
15 Temmuz itibariyle, bir gün önce 85’e kadar 77 enfekte olmanın tahmin edildiği tahmin edilmektedir. Uzlaşmaların çoğunluğu Kuzey Amerika (44), Asya (14) ve Avrupa (13) etrafında yoğunlaşmıştır.
Saldırı yüzey yönetimi platformundan elde edilen veriler Censys, şu anda kaçının CVE-2025-25257’ye karşı savunmasız olduğu bilinmemekle birlikte, Honeypots hariç 20.098 Fortinet Fortiweb cihazlarının çevrimiçi olduğunu göstermektedir.
Censys, “Bu kusur, kimlik doğrulanmamış saldırganların hazırlanmış HTTP istekleri aracılığıyla keyfi SQL komutları yürütmelerini sağlayarak uzaktan kod yürütülmesine (RCE) yol açar.” Dedi.