سیسکو روز دوشنبه ۲۱ جولای ۲۰۲۵ توصیهنامه خود در مورد مجموعهای از نقصهای امنیتی اخیراً افشاشده در موتور خدمات هویت (ISE) و رابط هویت غیرفعال ISE (ISE-PIC) را بهروزرسانی کرد تا بهرهبرداری فعال را تأیید کند.
این شرکت در هشداری اعلام کرد[۱]: “در ژوئیه ۲۰۲۵، تیم واکنش به حوادث امنیتی محصول سیسکو (PSIRT) از تلاش برای بهرهبرداری از برخی از این آسیبپذیریها در سطح اینترنت آگاه شد.”
این فروشنده تجهیزات شبکه فاش نکرد که کدام آسیبپذیریها در حملات دنیای واقعی بهعنوان سلاح استفاده شدهاند، هویت عاملان تهدیدی که از آنها بهرهبرداری میکنند یا مقیاس فعالیت چیست.
سیسکو ISE نقش محوری در کنترل دسترسی به شبکه دارد و مدیریت میکند که کدام کاربران و دستگاهها و تحت چه شرایطی اجازه ورود به شبکههای شرکتی را دارند. یک نفوذ در این لایه میتواند به مهاجمان دسترسی نامحدود به سیستمهای داخلی بدهد، کنترلهای احراز هویت و مکانیسمهای ثبت وقایع را دور بزند – و یک موتور سیاست را به یک در باز تبدیل کند.
آسیبپذیریهای ذکرشده در هشدار، همگی دارای رتبه بحرانی (نمره ۱۰ در CVSS) هستند که میتوانند به یک مهاجم غیرمجاز از راه دور اجازه دهند تا بهعنوان کاربر ریشه، دستوراتی را روی سیستمعامل اصلی صادر کند.
- CVE-2025-20281 و CVE-2025-20337 – چندین آسیبپذیری در یک API خاص که میتواند به یک مهاجم غیرمجاز از راه دور اجازه دهد تا کد دلخواه را روی سیستمعامل اصلی بهعنوان ریشه اجرا کند.[۲]
- CVE-2025-20282 – یک آسیبپذیری در یک API داخلی که میتواند به یک مهاجم غیرمجاز از راه دور اجازه دهد تا فایلهای دلخواه را در یک دستگاه آسیبدیده آپلود کند و سپس آن فایلها را روی سیستمعامل اصلی بهعنوان ریشه اجرا کند.[۳]
درحالیکه دو نقص اول نتیجه اعتبارسنجی ناکافی ورودی ارائهشده توسط کاربر است، مورد دوم ناشی از عدم بررسی اعتبارسنجی فایل است که مانع از قرار گرفتن فایلهای آپلود شده در دایرکتوریهای ممتاز در یک سیستم آسیبدیده میشود.
درنتیجه، یک مهاجم میتواند با ارسال یک درخواست API دستکاریشده (برای CVE-2025-20281 و CVE-2025-20337) یا آپلود یک فایل دستکاریشده در دستگاه آسیبدیده (برای CVE-2025-20282) از این کاستیها سوءاستفاده کند.
با توجه به بهرهبرداری فعال، ضروری است که مشتریان در اسرع وقت به یک نسخه نرمافزاری اصلاحشده ارتقا دهند تا این آسیبپذیریها را برطرف کنند. این نقصها از راه دور و بدون احراز هویت قابل بهرهبرداری هستند و سیستمهای وصله نشده را در معرض خطر بالای اجرای کد از راه دور قبل از احراز هویت قرار میدهند – نگرانی اصلی برای مدافعانی که زیرساختهای حیاتی یا محیطهای مبتنی بر انطباق را مدیریت میکنند.
تیمهای امنیتی همچنین باید گزارشهای سیستم را برای فعالیت API مشکوک یا آپلودهای غیرمجاز فایل، بهویژه در استقرارهای در معرض دید خارجی، بررسی کنند.
بهروزرسانی
آژانس امنیت سایبری و زیرساخت ایالاتمتحده (CISA) در تاریخ ۲۸ ژوئیه ۲۰۲۵، آسیبپذیریهای CVE-2025-20281 و CVE-2025-20337 را به فهرست آسیبپذیریهای شناختهشدهی مورد بهرهبرداری ([۴]KEV) خود اضافه کرد[۵] و از سازمانهای فدرال غیرنظامی (FCEB) خواست تا ۱۸ اوت بهروزرسانیهای لازم را برای ایمنسازی شبکههای خود اعمال کنند.
ZDI ترند میکرو نیز جزئیات فنی CVE-2025-20281 را منتشر کرده و آن را «طوفانی کامل از اشتباهات در موتور خدمات هویت سیسکو برای دستیابی به تصاحب کامل سیستم بهعنوان ریشه» نامیده است.
بابی گولد، محقق امنیتی، گفت[۶]: «با استفاده از متغیر در bash، میتوانیم روش exec جاوا را که ما را از استفاده از کاراکتر فاصله منع میکند، دور بزنیم.» «علاوه بر این، اگرچه تزریق دستور اولیه درون یک کانتینر داکر اجرا شد، اما ما توانستیم از سندباکس خارج شویم و کد را روی میزبان اجرا کنیم زیرا سیسکو کانتینر را در حالت ممتاز پیکربندی کرده بود.»
(این خبر پس از انتشار در ۲۸ ژوئیه ۲۰۲۵، با جزئیاتی از CISA بهروزرسانی شد.)
منابع[۱] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
[۲] https://apa.aut.ac.ir/?p=11389
[۳] https://thehackernews.com/2025/07/cisco-warns-of-critical-ise-flaw.html
[۴] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[۵] https://www.cisa.gov/news-events/alerts/2025/07/28/cisa-adds-three-known-exploited-vulnerabilities-catalog
[۶] https://www.zerodayinitiative.com/blog/2025/7/24/cve-2025-20281-cisco-ise-api-unauthenticated-remote-code-execution-vulnerability
[۷] https://thehackernews.com/2025/07/cisco-confirms-active-exploits.html
ثبت ديدگاه