Cisco, Kimlik Hizmetleri Motoru (ISE) Güvenlik Politikası Yönetim Platformunda iki kritik güvenlik açığını düzeltmek için yamalar yayınladı.
Kurumsal yöneticiler, Cisco Ise’yi kimlik doğrulama, yetkilendirme ve muhasebeyi tek bir cihazda birleştiren bir Kimlik ve Erişim Yönetimi (IAM) çözümü olarak kullanırlar.
İki güvenlik kusuru (CVE-2025-20124 ve CVE-2025-20125), rasgele komutları gerçekleştirilmemiş cihazlarda kök ve bypass yetkisi olarak yürütmek için okunaklı yönetici ayrıcalıklarına sahip kimliği doğrulanmış uzaktan saldırganlar tarafından kullanılabilir.
Bu güvenlik açıkları, cihaz konfigürasyonundan bağımsız olarak Cisco Ise ve Cisco Ise Pasif Kimlik Konnektörü (ISE-PIC) cihazlarını etkiler.
“Bu güvenlik açığı, etkilenen yazılım tarafından kullanıcı tarafından sağlanan java bayt akışlarının güvensiz sazizleşmesinden kaynaklanıyor,” dedi Cisco, 9.9/10 şiddet derecesi ile etiketlenen CVE-2025-20124 hatasını açıkladı.
“Bir saldırgan, etkilenen bir API’ya hazırlanmış bir serileştirilmiş Java nesnesi göndererek bu güvenlik açığını kullanabilir. Başarılı bir istismar, saldırganın cihazda keyfi komutlar yürütmesine ve ayrıcalıkları yükseltmesine izin verebilir.”
CVE-2025-20125, belirli bir API’da yetkilendirme eksikliğinden ve bilgi edinmek, savunmasız bir sistemin konfigürasyonunu değiştirmek ve cihazı yeniden yüklemek için kötü niyetli olarak hazırlanmış HTTP istekleri kullanılarak kullanılabilen kullanıcı tarafından sağlanan verilerin yanlış doğrulanmasından kaynaklanır.
Yöneticilerin Cisco ISE cihazlarını aşağıdaki tabloda listelenen sabit sürümlerden birine göç etmeleri veya yükseltmeleri tavsiye edilir.
| Cisco Ise yazılım yayınları | İlk Sabit Sürüm |
|---|---|
| 3.0 | Sabit bir sürüme geçin. |
| 3.1 | 3.1p10 |
| 3.2 | 3.2p7 |
| 3.3 | 3.3p4 |
| 3.4 | Savunmasız değil. |
Cisco’nun Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), halka açık istismar kodu olduğuna dair kanıtları henüz keşfetmedi veya iki kritik güvenlik kusurunun (Deloitte güvenlik araştırmacıları Dan Marin ve Sebastian Radulea tarafından bildirildiği) saldırılarda istismar edildi.
Çarşamba günü şirket ayrıca iOS, iOS XE, iOS XR (CVE-2025-20170, CVE-2025-20171) ve NX-OS (CVE-2024-20397 ) Saldırganların hizmet reddi (DOS) koşullarını veya nx-os görüntü imzası doğrulamasını tetiklemesine izin verebilecek yazılım.
Cisco, SNMP özelliği etkinleştirilmiş iOS, iOS XE ve iOS XR yazılımını etkileyen DOS güvenlik açıklarını henüz yamaladı. Bununla birlikte, vahşi doğada sömürülmediklerini ve yöneticilerin savunmasız cihazlarda savunmasız nesne tanımlayıcılarını (OID’ler) devre dışı bırakmasını gerektiren hafifletme önlemleri sağladığını söyledi (ancak bu ağ işlevselliğini veya performansı olumsuz etkileyebilir).
Şirket, Şubat ve Mart aylarında SNMP DOS güvenlik hatalarını ele almak için yazılım güncellemelerini sunmayı planlıyor.
Eylül ayında Cisco, tehdit aktörlerinin savunmasız cihazlara dayanmak için ayrıcalıkları artırmasına izin veren başka bir kimlik hizmeti motor güvenlik açığı (kamu istismarı kodu ile) düzeltti.
İki ay sonra, saldırganların savunmasız ultra güvenilir kablosuz taşıt (URWB) erişim noktalarında kök ayrıcalıkları olan komutları çalıştırmasına izin veren maksimum şiddet güvenlik açığını da yamaladı.