هشدار سیسکو درباره آسیب‌پذیری‌های بحرانی RCE در سامانه Identity Services Engine

سیسکو با انتشار یک بولتن امنیتی نسبت به دو آسیب‌پذیری بحرانی و بدون نیاز به احراز هویت از نوع اجرای کد از راه دور (Remote Code Execution – RCE) در محصولات Cisco Identity Services Engine (ISE) و Passive Identity Connector (ISE-PIC) هشدار داد.

این آسیب‌پذیری‌ها با شناسه‌های CVE-2025-20281 و CVE-2025-20282 پیگیری می‌شوند و از نظر شدت، امتیاز ۱۰٫۰ را در مقیاس CVSS کسب کرده‌اند که بالاترین سطح بحرانی بودن به‌شمار می‌رود. آسیب‌پذیری نخست (CVE-2025-20281) نسخه‌های ۳٫۴ و ۳٫۳ از ISE و ISE-PIC را تحت تأثیر قرار می‌دهد، در حالی که آسیب‌پذیری دوم (CVE-2025-20282) فقط نسخه ۳٫۴ را هدف قرار داده است.

ریشه‌ی آسیب‌پذیری CVE-2025-20281 در نبود اعتبارسنجی مناسب بر روی داده‌های ورودی کاربر در یک API عمومی است. این نقص به مهاجمی بدون احراز هویت و از راه دور اجازه می‌دهد با ارسال یک درخواست خاص به API، دستورات دلخواه سیستم‌عامل را با سطح دسترسی root اجرا کند.

آسیب‌پذیری دوم (CVE-2025-20282) ناشی از ضعف در اعتبارسنجی فایل‌ها در یک API داخلی است که امکان نوشتن فایل در مسیرهای دارای سطح دسترسی بالا را فراهم می‌کند. این آسیب‌پذیری به مهاجم از راه دور و بدون احراز هویت اجازه می‌دهد فایل‌های دلخواه را در سیستم هدف بارگذاری کرده و آن‌ها را با دسترسی root اجرا کند.

Cisco Identity Services Engine (ISE) یک پلتفرم مدیریت سیاست‌های امنیتی شبکه و کنترل دسترسی است که توسط سازمان‌ها برای مدیریت اتصال به شبکه استفاده می‌شود. این محصول نقش حیاتی در پیاده‌سازی کنترل دسترسی شبکه (NAC)، مدیریت هویت و اجرای سیاست‌های امنیتی دارد و معمولاً در شبکه‌های سازمانی بزرگ، نهادهای دولتی، دانشگاه‌ها و ارائه‌دهندگان خدمات مستقر می‌شود.

دو آسیب‌پذیری مذکور می‌توانند به مهاجم اجازه دهند بدون نیاز به احراز هویت یا تعامل کاربر، کنترل کامل و از راه دور دستگاه هدف را در اختیار بگیرد.

سیسکو در این بولتن اعلام کرده که تاکنون گزارشی مبنی بر سوءاستفاده فعال از این دو آسیب‌پذیری دریافت نشده است، با این حال نصب به‌روزرسانی‌های امنیتی منتشرشده باید در اولویت قرار گیرد.

به کاربران توصیه شده است که سیستم‌های خود را به نسخه‌های زیر یا نسخه‌های جدیدتر ارتقا دهند:

• نسخه ۳٫۳ با Patch 6 (فایل: ise-apply-CSCwo99449_3.3.0.430_patch4)
• نسخه ۳٫۴ با Patch 2 (فایل: ise-apply-CSCwo99449_3.4.0.608_patch1)

برای این آسیب‌پذیری‌ها هیچ راهکار موقتی (workaround) ارائه نشده است، و تنها راه مقابله، نصب وصله‌های امنیتی رسمی است.

همچنین سیسکو در بولتن جداگانه‌ای، یک آسیب‌پذیری با شدت متوسط از نوع دور زدن احراز هویت را با شناسه CVE-2025-20264 اعلام کرده که آن‌هم ISE را تحت تأثیر قرار می‌دهد.

این نقص امنیتی به دلیل اعمال ناقص مجوزدهی (Authorization) برای کاربرانی است که از طریق SAML SSO و یک ارائه‌دهنده هویت خارجی (Identity Provider) ایجاد شده‌اند. مهاجمی که دارای اطلاعات ورود معتبر از طریق SSO باشد، می‌تواند با ارسال توالی خاصی از دستورات، تنظیمات سیستم را تغییر دهد یا باعث راه‌اندازی مجدد دستگاه شود.

آسیب‌پذیری CVE-2025-20264 تمامی نسخه‌های Cisco ISE تا شاخه ۳٫۴ را تحت تأثیر قرار می‌دهد. وصله‌های امنیتی برای این نقص در نسخه ۳٫۳ Patch 5 و ۳٫۴ Patch 2 منتشر شده‌اند. شرکت سیسکو وعده داده که برای نسخه ۳٫۲ نیز در قالب Patch 8 که در نوامبر ۲۰۲۵ عرضه خواهد شد، وصله منتشر خواهد کرد.

نسخه‌های ۳٫۱ و پایین‌تر نیز در برابر این آسیب‌پذیری آسیب‌پذیر هستند اما دیگر پشتیبانی نمی‌شوند. به کاربران توصیه شده است که به شاخه‌های جدیدتر ارتقا دهند.