CVE-2025-20337

Cisco Identity Services Engine

ВЕРОЯТНОСТЬ 0.7%
Дата обнаружения

2025-07-28

Официальное описание

Cisco Identity Services Engine contains an injection vulnerability in a specific API of Cisco ISE and Cisco ISE-PIC due to insufficient validation of user-supplied input allowing an attacker to exploit this vulnerability by submitting a crafted API request. Successful exploitation could allow an attacker to perform remote code execution and obtaining root privileges on an affected device.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-20337 затрагивает API-интерфейсы продуктов Cisco Identity Services Engine (ISE) и Cisco ISE Passive Identity Connector (ISE-PIC). Проблема классифицируется как уязвимость внедрения (Injection) и возникает из-за отсутствия или недостаточной проверки входных данных, передаваемых пользователем.

Злоумышленник может проэксплуатировать данную уязвимость, отправив специально сформированный вредоносный API-запрос к уязвимому компоненту. Успешная эксплуатация приводит к удаленному выполнению произвольного кода (RCE) на уровне базовой операционной системы, что позволяет атакующему получить полные привилегии суперпользователя (root) и полностью скомпрометировать устройство.

Как исправить

Единственным надежным способом устранения уязвимости является обновление системы или установка официального патча от вендора.

  • Определите текущую версию системы и список установленных патчей на всех узлах кластера Cisco ISE (PAN, PSN, MnT). Для этого подключитесь к CLI устройства и выполните команду:
show version
  • Сверьте вашу версию с таблицей уязвимых релизов в официальном бюллетене Cisco Security Advisory.
  • Загрузите актуальный Patch или Hotfix, закрывающий CVE-2025-20337, с портала Cisco Software Download.
  • Установите загруженный патч через графический интерфейс (Administration -> System -> Maintenance -> Patch Management) или через CLI.
  • Дождитесь автоматической перезагрузки служб или узла (в зависимости от требований патча) и убедитесь, что все сервисы ISE успешно запущены:
show application status ise

Временные меры

Если немедленная установка обновления невозможна в связи с бизнес-процессами, необходимо внедрить компенсирующие меры для минимизации поверхности атаки.

  • Максимально ограничьте сетевой доступ к портам API Cisco ISE (обычно TCP 443, 9060, 8910) с помощью списков контроля доступа (ACL) на маршрутизаторах и межсетевых экранах. Разрешите доступ только строго определенным доверенным IP-адресам (например, серверам интеграции и jump-хостам администраторов).
  • Если уязвимый API-интерфейс (например, Extensible RESTful Services - ERS) не используется в вашей инфраструктуре для интеграции со сторонними системами, отключите его через графический интерфейс администратора (Administration -> System -> Settings -> ERS Settings).
  • Внедрите правила на Web Application Firewall (WAF) или системах предотвращения вторжений (IPS) для глубокой инспекции пакетов (DPI), направленных к API ISE, чтобы блокировать запросы, содержащие спецсимволы или паттерны инъекций.
  • Усильте мониторинг в SIEM-системе. Настройте алерты на аномальную активность, связанную с API: множественные ошибки HTTP 400/500, нестандартные User-Agent или обращения к эндпоинтам API с неизвестных IP-адресов.
  • Проверьте текущие локальные настройки сетевого доступа на самом узле ISE, чтобы убедиться в отсутствии лишних разрешений:
show running-config
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей