هشدار امنیتی: سوءاستفاده مهاجمان از آسیب‌پذیری‌های RCE در Cisco ISE

Cisco هشدار داده است که سه آسیب‌پذیری بحرانی و اخیراً وصله‌شده از نوع اجرای کد از راه دور (Remote Code Execution) در Cisco Identity Services Engine (ISE) اکنون به‌صورت فعال در حملات مورد بهره‌برداری قرار گرفته‌اند.

اگرچه Cisco جزئیاتی درباره نحوه بهره‌برداری از این آسیب‌پذیری‌ها و میزان موفقیت‌آمیز بودن آن‌ها ارائه نکرده، اما اعمال به‌روزرسانی‌های امنیتی در سریع‌ترین زمان ممکن، در حال حاضر امری حیاتی محسوب می‌شود.

در نسخه به‌روزشده‌ی اطلاعیه امنیتی Cisco آمده است:
«در ژوئیه ۲۰۲۵، Cisco PSIRT از تلاش‌هایی برای بهره‌برداری از برخی از این آسیب‌پذیری‌ها در فضای واقعی مطلع شد.»

«Cisco قویاً توصیه می‌کند که مشتریان جهت رفع این آسیب‌پذیری‌ها، نرم‌افزار خود را به نسخه‌ای که دارای وصله امنیتی است، به‌روزرسانی کنند.»

Cisco Identity Services Engine (ISE) یک پلتفرم است که به سازمان‌های بزرگ این امکان را می‌دهد تا دسترسی به شبکه را کنترل کرده و سیاست‌های امنیتی را اعمال کنند.

آسیب‌پذیری‌هایی با بیشترین سطح شدت، نخستین بار توسط Cisco در تاریخ‌های ۲۵ ژوئن ۲۰۲۵ (با شناسه‌های CVE-2025-20281 و CVE-2025-20282) و ۱۶ ژوئیه ۲۰۲۵ (با شناسه CVE-2025-20337) افشا شدند.

در ادامه، شرح مختصری از این آسیب‌پذیری‌ها ارائه شده است:

CVE-2025-20281: آسیب‌پذیری بحرانی اجرای کد از راه دور بدون احراز هویت در Cisco Identity Services Engine (ISE) و ISE Passive Identity Connector (ISE-PIC).
مهاجم می‌تواند با ارسال درخواست‌های ساختگی به API، دستورات دلخواه خود را به‌عنوان کاربر root بر روی سیستم‌عامل پایه اجرا کند، بدون نیاز به هرگونه احراز هویت.
این آسیب‌پذیری در نسخه‌های ISE 3.3 Patch 7 و ISE 3.4 Patch 2 برطرف شده است.

CVE-2025-20282: آسیب‌پذیری بحرانی آپلود و اجرای فایل دلخواه بدون احراز هویت در Cisco ISE و ISE-PIC Release 3.4.
به دلیل نبود اعتبارسنجی مناسب فایل‌ها، مهاجم می‌تواند فایل‌های مخرب را در مسیرهای با سطح دسترسی بالا آپلود کرده و آن‌ها را به‌عنوان root اجرا کند.
این آسیب‌پذیری در نسخه ISE 3.4 Patch 2 اصلاح شده است.

CVE-2025-20337: آسیب‌پذیری بحرانی اجرای کد از راه دور بدون احراز هویت در Cisco ISE و ISE-PIC.
مهاجم می‌تواند با استفاده از درخواست‌های خاص API و بهره‌برداری از ضعف در اعتبارسنجی ورودی، به سطح دسترسی root دست یابد، بدون نیاز به داشتن نام کاربری یا رمز عبور.
این مشکل در نسخه‌های ISE 3.3 Patch 7 و ISE 3.4 Patch 2 برطرف شده است.

تمامی این سه آسیب‌پذیری دارای بیشترین سطح شدت (امتیاز CVSS: 10.0) بوده و از راه دور و بدون نیاز به احراز هویت قابل بهره‌برداری هستند، که آن‌ها را به اهدافی بسیار ارزشمند برای مهاجمانی تبدیل می‌کند که به دنبال نفوذ به شبکه‌های سازمانی هستند.

Cisco پیش‌تر دو وصله‌ی فوری جداگانه برای این آسیب‌پذیری‌ها منتشر کرده بود، چرا که زمان کشف آن‌ها متفاوت بود. برای رفع تمامی آسیب‌پذیری‌ها به‌صورت یکجا، Cisco اقدامات زیر را توصیه می‌کند:

• کاربران ISE 3.3 باید به Patch 7 ارتقاء دهند.
• کاربران ISE 3.4 باید به Patch 2 ارتقاء دهند.
• سیستم‌هایی که از نسخه ISE 3.2 یا قدیمی‌تر استفاده می‌کنند تحت تأثیر قرار نگرفته‌اند و نیازی به اقدامی ندارند.

هیچ راهکار جایگزینی برای این سه آسیب‌پذیری وجود ندارد و تنها روش پیشنهادی برای کاهش خطر، اعمال به‌روزرسانی‌های رسمی است.