CISCO kritikus – CVSS 10/10 – sérülékenységek
A Cisco friss figyelmeztetése szerint három kritikus, maximum súlyossági besorolású (CVSS 10/10) távoli kódfuttatási (RCE) hiba az Identity Services Engine (ISE) és a kapcsolódó ISE‑PIC szoftverekben, amit aktívan kihasználnak a támadók. Ezek a sérülékenységek – CVE‑2025‑20281, CVE‑2025‑20282 és CVE‑2025‑20337 – lehetővé teszik, hogy hitelesítés nélkül, egy API‑kéréssel vagy rosszindulatú fájl feltöltésével root jogosultsággal futtassanak kódot a megcélzott rendszerben. A Cisco megerősítette, hogy júliusban már észlelték ezek aktív kihasználását éles támadásokban.
A sérülések érintik a 3.3 és 3.4 verziókat – akár tartozék konfigurációktól függetlenül. Fontos, hogy annak ellenére, hogy a CVE‑2025‑20281 és CVE‑2025‑20282 már június 25‑én közzétételre kerültek, nem fedezték a CVE‑2025‑20337‑et, így azok önmagukban nem jelentenek teljes védelmet. Emiatt a Cisco felhasználók számára azonnali frissítést javasolt: 3.3‑as verzióhoz Patch 7-et, 3.4‑hez Patch 2‑t kell telepíteni.
Jelentős, hogy nincsenek elérhető eljárások vagy alternatív megoldások, az API‑k letiltása elvileg csökkentheti a támadási felületet, de gyakorlatilag a Cisco nem javasolja ezt, mivel súlyosan korlátozza a rendszer működését. Tehát az egyetlen megbízható megoldás a patchelés.
Ezek a rendszerek kritikus hálózati hozzáférés‑vezérlést és hitelesítési funkciókat biztosítanak szervezetek számára, így a sebezhetőségek kihasználása akár teljes jogosultságot is jelenthet a támadóknak. Bár nem jeleztek még tömeges incidenseket a vadonban, az exploitszexuális minták, a hibák nyilvánosságra kerülése és a támadók általános viselkedése alapján – akik inkább kivárnak a patch publikálása után – nagyon valószínű, hogy az aktív támadások folytatódnak.
