Баг на привилегиях: Cisco ISE открывает двери злоумышленникам

В системах Cisco Identity Services Engine (ISE) и ISE Passive Identity Connector (ISE-PIC) была обнаружена критическая уязвимость, которую уже устранили инженеры компании. Ошибка позволяла злоумышленникам выполнять произвольный код на уровне root — другими словами, полностью захватывать управление устройствами с помощью этих инструментов.

Для непосвящённых: Cisco ISE — это большая система, помогающая компаниям централизованно управлять доступом пользователей и техники к корпоративным сетям. Аналогично, ISE-PIC — сервис для сбора информации о пользователях и устройствах без необходимости аутентификации через привычные пароли.

Оба решения активнее всего используют айтишники и специалисты по информационной безопасности крупных компаний — особенно тех, у кого сложная архитектура сети.

Недостаток валидации пользовательских данных позволял хакерам направить специальный запрос к API и обойти все проверки. Более того, им даже не пришлось бы иметь доступные логины и пароли. Эту брешь (CVE-2025-20337, оценка критичности 10 из 10) обнаружил специалист по кибербезопасности Kentaro Kawane из компании GMO Cybersecurity.

Проблема затрагивала версии 3.3 и 3.4, вне зависимости от конфигурации устройства. Старые версии (3.2 и ниже) оказались вне опасности. Cisco уже выпустила заплатки (Patch 7 для 3.3, Patch 2 для 3.4), которые необходимо срочно поставить.

Пока не зафиксировано случаев, когда уязвимость реально эксплуатировали хакеры, однако обычно злоумышленники ловят момент после публикации информации — корпоративные «тугодумы» редко обновляют всё вовремя. Поэтому тем, кто не хочет лишиться данных и режима работы сети, стоит немедленно обновить ПО.