تائید سیسکو در ارتباط با بهره‌بردارهای فعالی که نقص‌های ISE را هدف قرار می‌دهند و دسترسی ریشه غیرمجاز را امکان‌پذیر می‌کنند!

سیسکو روز دوشنبه ۲۱ جولای توصیه‌نامه خود در مورد مجموعه‌ای از نقص‌های امنیتی اخیراً افشاشده در موتور خدمات هویت (ISE) و رابط هویت غیرفعال ISE (ISE-PIC) را به‌روزرسانی کرد تا بهره‌برداری فعال را تائید کند.

این شرکت در هشداری اعلام کرد[۱]: “در ژوئیه ۲۰۲۵، تیم واکنش به حوادث امنیتی محصول سیسکو (PSIRT) از تلاش برای بهره‌برداری از برخی از این آسیب‌پذیری‌ها در سطح اینترنت آگاه شد.”

این فروشنده تجهیزات شبکه فاش نکرد که کدام آسیب‌پذیری‌ها در حملات دنیای واقعی به عنوان سلاح استفاده شده‌اند، هویت عاملان تهدیدی که از آن‌ها بهره‌برداری می‌کنند یا مقیاس فعالیت چیست.

سیسکو ISE نقش محوری در کنترل دسترسی به شبکه دارد و مدیریت می‌کند که کدام کاربران و دستگاه‌ها و تحت چه شرایطی اجازه ورود به شبکه‌های شرکتی را دارند. یک نفوذ در این لایه می‌تواند به مهاجمان دسترسی نامحدود به سیستم‌های داخلی بدهد، کنترل‌های احراز هویت و مکانیسم‌های ثبت وقایع را دور بزند – و یک موتور سیاست را به یک در باز تبدیل کند.

آسیب‌پذیری‌های ذکرشده در این هشدار، همگی دارای رتبه بحرانی (نمرات د۱۰ در CVSS0) هستند که می‌توانند به یک مهاجم احراز هویت نشده و از راه دور اجازه دهند تا به عنوان کاربر ریشه، دستوراتی را روی سیستم‌عامل اصلی صادر کند.

• CVE-2025-20281 و CVE-2025-20337 [2]]– چندین آسیب‌پذیری در یک API خاص که می‌تواند به یک مهاجم احراز هویت نشده و از راه دور اجازه دهد تا کد دلخواه را روی سیستم‌عامل اصلی به عنوان ریشه اجرا کند.
• CVE-2025-20282 [3]– یک آسیب‌پذیری در یک API داخلی که می‌تواند به یک مهاجم احراز هویت نشده و از راه دور اجازه دهد تا فایل‌های دلخواه را در یک دستگاه آسیب‌دیده آپلود کند و سپس آن فایل‌ها را در سیستم‌عامل اصلی به عنوان ریشه اجرا کند.

درحالی‌که دو نقص اول نتیجه اعتبارسنجی ناکافی ورودی ارائه‌شده توسط کاربر است، مورد دوم ناشی از عدم بررسی اعتبارسنجی فایل است که مانع از قرار گرفتن فایل‌های آپلود شده در دایرکتوری‌های ممتاز در یک سیستم آسیب‌دیده می‌شود.

درنتیجه، یک مهاجم می‌تواند با ارسال یک درخواست API دستکاری‌شده (برای CVE-2025-20281 و CVE-2025-20337) یا آپلود یک فایل دستکاری‌شده در دستگاه آسیب‌دیده (برای CVE-2025-20282) از این نقص‌ها بهره‌برداری کند.

با توجه به بهره‌برداری فعال، ضروری است که مشتریان در اسرع وقت به یک نسخه نرم‌افزاری اصلاح‌شده ارتقا دهند تا این آسیب‌پذیری‌ها برطرف شوند. این نقص‌ها از راه دور و بدون احراز هویت قابل بهره‌برداری هستند و سیستم‌های وصله نشده را در معرض خطر بالای اجرای کد از راه دور قبل از احراز هویت قرار می‌دهند – نگرانی اصلی برای مدافعانی که زیرساخت‌های حیاتی یا محیط‌های مبتنی بر انطباق را مدیریت می‌کنند.

تیم‌های امنیتی همچنین باید گزارش‌های سیستم را برای فعالیت‌های مشکوک API یا آپلودهای غیرمجاز فایل، به‌ویژه در استقرارهای خارجی، بررسی کنند.

  منابع

[۱] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6

[۲] https://thehackernews.com/2025/07/cisco-warns-of-critical-ise-flaw.html

[۳] https://apa.aut.ac.ir/?p=11389

[۴] https://thehackernews.com/2025/07/google-launches-oss-rebuild-to-expose.html