هشدار سیسکو درباره آسیبپذیریهای بحرانی RCE در سامانه Identity Services Engine
سیسکو با انتشار یک بولتن امنیتی نسبت به دو آسیبپذیری بحرانی و بدون نیاز به احراز هویت از نوع اجرای کد از راه دور (Remote Code Execution – RCE) در محصولات Cisco Identity Services Engine (ISE) و Passive Identity Connector (ISE-PIC) هشدار داد.
این آسیبپذیریها با شناسههای CVE-2025-20281 و CVE-2025-20282 پیگیری میشوند و از نظر شدت، امتیاز ۱۰٫۰ را در مقیاس CVSS کسب کردهاند که بالاترین سطح بحرانی بودن بهشمار میرود. آسیبپذیری نخست (CVE-2025-20281) نسخههای ۳٫۴ و ۳٫۳ از ISE و ISE-PIC را تحت تأثیر قرار میدهد، در حالی که آسیبپذیری دوم (CVE-2025-20282) فقط نسخه ۳٫۴ را هدف قرار داده است.
ریشهی آسیبپذیری CVE-2025-20281 در نبود اعتبارسنجی مناسب بر روی دادههای ورودی کاربر در یک API عمومی است. این نقص به مهاجمی بدون احراز هویت و از راه دور اجازه میدهد با ارسال یک درخواست خاص به API، دستورات دلخواه سیستمعامل را با سطح دسترسی root اجرا کند.
آسیبپذیری دوم (CVE-2025-20282) ناشی از ضعف در اعتبارسنجی فایلها در یک API داخلی است که امکان نوشتن فایل در مسیرهای دارای سطح دسترسی بالا را فراهم میکند. این آسیبپذیری به مهاجم از راه دور و بدون احراز هویت اجازه میدهد فایلهای دلخواه را در سیستم هدف بارگذاری کرده و آنها را با دسترسی root اجرا کند.
Cisco Identity Services Engine (ISE) یک پلتفرم مدیریت سیاستهای امنیتی شبکه و کنترل دسترسی است که توسط سازمانها برای مدیریت اتصال به شبکه استفاده میشود. این محصول نقش حیاتی در پیادهسازی کنترل دسترسی شبکه (NAC)، مدیریت هویت و اجرای سیاستهای امنیتی دارد و معمولاً در شبکههای سازمانی بزرگ، نهادهای دولتی، دانشگاهها و ارائهدهندگان خدمات مستقر میشود.
دو آسیبپذیری مذکور میتوانند به مهاجم اجازه دهند بدون نیاز به احراز هویت یا تعامل کاربر، کنترل کامل و از راه دور دستگاه هدف را در اختیار بگیرد.
سیسکو در این بولتن اعلام کرده که تاکنون گزارشی مبنی بر سوءاستفاده فعال از این دو آسیبپذیری دریافت نشده است، با این حال نصب بهروزرسانیهای امنیتی منتشرشده باید در اولویت قرار گیرد.
به کاربران توصیه شده است که سیستمهای خود را به نسخههای زیر یا نسخههای جدیدتر ارتقا دهند:
- نسخه ۳٫۳ با Patch 6 (فایل: ise-apply-CSCwo99449_3.3.0.430_patch4)
- نسخه ۳٫۴ با Patch 2 (فایل: ise-apply-CSCwo99449_3.4.0.608_patch1)
برای این آسیبپذیریها هیچ راهکار موقتی (workaround) ارائه نشده است، و تنها راه مقابله، نصب وصلههای امنیتی رسمی است.
همچنین سیسکو در بولتن جداگانهای، یک آسیبپذیری با شدت متوسط از نوع دور زدن احراز هویت را با شناسه CVE-2025-20264 اعلام کرده که آنهم ISE را تحت تأثیر قرار میدهد.
این نقص امنیتی به دلیل اعمال ناقص مجوزدهی (Authorization) برای کاربرانی است که از طریق SAML SSO و یک ارائهدهنده هویت خارجی (Identity Provider) ایجاد شدهاند. مهاجمی که دارای اطلاعات ورود معتبر از طریق SSO باشد، میتواند با ارسال توالی خاصی از دستورات، تنظیمات سیستم را تغییر دهد یا باعث راهاندازی مجدد دستگاه شود.
آسیبپذیری CVE-2025-20264 تمامی نسخههای Cisco ISE تا شاخه ۳٫۴ را تحت تأثیر قرار میدهد. وصلههای امنیتی برای این نقص در نسخه ۳٫۳ Patch 5 و ۳٫۴ Patch 2 منتشر شدهاند. شرکت سیسکو وعده داده که برای نسخه ۳٫۲ نیز در قالب Patch 8 که در نوامبر ۲۰۲۵ عرضه خواهد شد، وصله منتشر خواهد کرد.
نسخههای ۳٫۱ و پایینتر نیز در برابر این آسیبپذیری آسیبپذیر هستند اما دیگر پشتیبانی نمیشوند. به کاربران توصیه شده است که به شاخههای جدیدتر ارتقا دهند.