Cisco, ana bulut platformlarında (Amazon Web Services (AWS), Microsoft Azure ve Oracle Cloud Altyapısı (OCI) ‘na dağıtıldığında, kimlik hizmetleri motoru (ISE) için bir kritik güvenlik danışmanlığı (Danışma Kimliği: Cisco-Sa-so-aws-static-cred-cred-fpmjucm7) yayınladı.
CVE-2025-20286 olarak izlenen ve CWE-259 (sert kodlanmış şifre kullanımı) altında sınıflandırılan güvenlik açığı, ciddi bir risk gösteren bir CVSS V3.1 baz skoru 9.9 taşır.
Kusur, bu bulut platformlarında ISE dağıtım sırasında uygunsuz kimlik bilgilerinden kaynaklanmaktadır.
.png
)
Sonuç olarak, aynı yazılım sürümü ve platformunun tüm ISE örnekleri aynı statik kimlik bilgilerini paylaşır.
Bu, bir ISE bulut dağıtımından kimlik bilgilerini çıkaran bir saldırganın, benzer ortamlarda konuşlandırılan diğer ISE örneklerine potansiyel olarak erişebileceği ve yetkisiz erişim, veri maruziyeti, konfigürasyon değişiklikleri ve hizmet kesintilerine yol açabileceği anlamına gelir.
Anahtar Teknik Ayrıntılar:
- Güvenlik Açığı Kimliği: CVE-2025-20286
- CVSS Puanı: 9.9 (kritik)
- Saldırı Vektörü: Ağ (: n)
- Saldırı Karmaşıklığı: Düşük (AC: L)
- Gereken ayrıcalıklar: Yok (pr: n)
- Kullanıcı etkileşimi: Yok (UI: N)
- Kapsam: Değişti (S: C)
- Potansiyel etki: Gizlilik, Dürüstlük ve Kullanılabilirlik Kaybı
Etkilenen sürümler ve platformlar
Güvenlik açığı, bulutta konuşlandırıldığında aşağıdaki Cisco ISE sürümlerini etkiler:
| Platform | Savunmasız sürümler |
|---|---|
| Aws | 3.1, 3.2, 3.3, 3.4 |
| Azure | 3.2, 3.3, 3.4 |
| OCI | 3.2, 3.3, 3.4 |
Önemli not:
Yalnızca bulutta birincil yönetim düğümü ile bulut dağıtımları etkilenir.
Şirket içi dağıtımlar ve tüm idari kişilere sahip hibrit kurulumlar etkilenmez.
Bu güvenlik açığı için geçici çözüm yoktur.
Cisco anında işlem önerir:
- Yazılım Güncellemeleri: Cisco, sorunu ele almak için sıcak düzeltmeler ve yeni yazılım sürümleri yayınladı.
- Müşteriler, aşağıda ayrıntılı olarak belirtildiği gibi sabit sürümlere geçmeleri istenir.
| Cisco Ise Sürümü | Sıcak düzeltme dosyası adı | İlk Sabit Sürüm |
|---|---|---|
| 3.1 – 3.4 | Ise-Apply-cscwn63400_3.1.x_patchall-spa.tar.gz | 3.3p8 (Kasım 2025), 3.4p3 (Ekim 2025) |
| 3.5 | Uygulanamaz | Planlanan (Ağu 2025) |
- Hafifletmeler:
- Bulut güvenlik gruplarını ve kaynak IP filtrelemesini kullanarak ISE örneklerine erişimi kısıtlayın.
- Yeni kurulumlar için, kullanıcı şifrelerini sıfırlamak için aşağıdaki komutu çalıştırın: Bash
application reset-config iseUyarı: Bu komut, ISE’yi fabrika yapılandırmasına sıfırlar. Yedeklemeden geri yükleme orijinal kimlik bilgilerine geri dönecektir.
- Sömürü Durumu:
Kavram kanıtı istismar kodu mevcuttur, ancak bu danışmanlığın yayınlanmasından itibaren vahşi doğada kötü niyetli bir sömürü raporu1.
Çıkarımlar ve öneriler
Bu güvenlik açığı, bulut ortamlarında statik kimlik yeniden kullanımı risklerini vurgulamaktadır.
AWS, Azure veya OCI’da Cisco Ise’yi kullanan kuruluşlar:
- Hemen önerilen yamaları uygulayın veya sabit bir sürüme geçin.
- Bulut erişim kontrollerini gözden geçirin ve güvenlik grupları ve kaynak IP algılar aracılığıyla yönetici erişimi kısıtlayın.
- Azaltma uyguladıktan sonra savunmasız kimlik bilgileriyle yedeklemeleri geri yüklemekten kaçının.
- Güncellemeler ve daha fazla rehberlik için Cisco’nun güvenlik danışmanlarını izleyin.
Bulut dağıtımlarındaki ağ kimlik doğrulaması ve erişim kontrol altyapılarının güvenliğini ve bütünlüğünü korumak için hızlı işlem şarttır.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun