Cisco, kimlik hizmetleri motoru (ISE) yazılımında, kimlik doğrulamalı, uzaktan saldırganların keyfi komutlar yürütmesine, ayrıcalıkları yükseltmesine ve etkilenen cihazlarda sistem yapılandırmalarını manipüle etmesine izin verebilecek iki kritik güvenlik açıkını açıkladı.
CVE-2025-20124 ve CVE-2025-20125 olarak izlenen bu güvenlik açıkları, sırasıyla CVSS skorları 9.9 ve 9.1 ile yüksek şiddet derecelendirmeleri atanmıştır. Cisco, bu sorunları ele almak için yazılım güncellemeleri yayınladı, ancak geçici çözüm yok.
CVE-2025-20124: Güvensiz Java Sealizasyonu
Bu güvenlik açığı, Cisco Ise’nin bir API’sinde kullanıcı tarafından sağlanan Java bayt akışlarının güvensiz sazizleşmesinden kaynaklanmaktadır. Geçerli salt okunur idari kimlik bilgilerine sahip bir saldırgan, API’ya kötü amaçlı bir serileştirilmiş Java nesnesi göndererek bu kusuru kullanabilir.
Başarılı sömürü, saldırganın temel kullanıcı olarak keyfi komutlar yürütmesine izin vererek potansiyel olarak tüm cihazı tehlikeye atmasına izin verecektir.
CVE-2025-20125: Yetkilendirme Bypass
İkinci güvenlik açığı, belirli bir API’da uygun yetkilendirme kontrollerinin olmaması ve kullanıcı tarafından sağlanan verilerin yetersiz doğrulanmasından kaynaklanmaktadır. Bir saldırgan, savunmasız API’ya hazırlanmış bir HTTP isteği göndererek bu kusuru kullanabilir.
Bu, saldırganın hassas bilgiler almasını, sistem yapılandırmalarını değiştirmesini ve düğümü yeniden başlatmasını sağlayabilir.
Her iki güvenlik açığı, saldırganların geçerli salt okunur idari kimlik bilgilerine sahip olmasını ve bu tür hesapların güvence altına alınmasının önemini vurgulamasını gerektirir.
Etkilenen ürünler
Bu güvenlik açıkları, cihaz konfigürasyonundan bağımsız olarak Cisco Ise ve Cisco Ise Pasif Kimlik Konnektörünü (ISE-PIC) etkiler. Belirli savunmasız yazılım sürümleri, 3.0, 3.1, 3.2 ve 3.3 sürümlerini içerir. Ancak, sürüm 3.4’ün savunmasız olmadığı doğrulanmıştır.
- 3.1: 3.1p10 sürümünde düzeltildi
- 3.2: 3.2p7 sürümünde düzeltildi
- 3.3: 3.3p4 sürümünde düzeltildi
Cisco, müşterilere riskleri azaltmak için bu sabit sürümlere veya daha sonraki sürümlere geçmelerini tavsiye eder.
Cisco, bu güvenlik açıklarını ele alan ücretsiz yazılım güncellemeleri yayınladı ve etkilenen tüm kullanıcıların sistemlerini derhal yükseltmesini öneriyor. Bu güvenlik açıkları için geçici çözümler yoktur, bu da potansiyel sömürü risklerini azaltmak için zamanında güncellemeleri kritik hale getirir.
Şu an itibariyle, Cisco’nun Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), kamuoyunun sömürülmesine veya bu güvenlik açıklarının kötü niyetli kullanımı olduğuna dair hiçbir kanıt bildirmemektedir.
Cisco, Deloitte’den Dan Marin ve Sebastian Radulea’yı CVE-2025-20124 ve Sebastian Radulea’yı CVE-2025-20125’i tanımlamak için bildirir.
Bu kritik güvenlik açıklarının keşfi, güncel yazılımların sürdürülmesinin ve kurumsal ortamlarda idari kimlik bilgilerini güvence altına almanın öneminin altını çizmektedir.
Cisco Ise’yi kullanan kuruluşlar, önerilen güncellemeleri uygulamak ve altyapılarını potansiyel saldırılara karşı korumak için derhal hareket etmelidir.
PCI DSS 4.0 ve Tedarik Zinciri Saldırısı Önleme – Ücretsiz Web Semineri