„Cisco“ pataisė savo „Identity Services Engine“ (ISE) tinklo prieigos valdymo sprendimo pažeidžiamumą su viešu koncepcijos įrodymo išnaudojimo kodu, kuriuo gali piktnaudžiauti administratoriaus teises turintys užpuolikai.
Įmonių administratoriai naudoja Cisco ISE, kad valdytų galinio taško, vartotojo ir įrenginio prieigą prie tinklo išteklių, kartu įgyvendindami nulinio pasitikėjimo architektūrą.
Saugos trūkumas (CVE-2026-20029) veikia „Cisco Identity Services Engine“ (ISE) ir „Cisco ISE Passive Identity Connector“ (ISE-PIC) neatsižvelgiant į įrenginio konfigūraciją, o nuotoliniai užpuolikai, turintys dideles teises, gali ja pasinaudoti, kad pasiektų neskelbtiną informaciją nepataisytuose įrenginiuose.
„Šis pažeidžiamumas atsirado dėl netinkamo XML analizavimo, kurį apdoroja Cisco ISE ir Cisco ISE-PIC žiniatinklio valdymo sąsaja. Užpuolikas gali pasinaudoti šiuo pažeidžiamumu, įkeldamas kenkėjišką failą į programą”, – sakė Cisco.
„Sėkmingas išnaudojimas gali leisti užpuolikui nuskaityti savavališkus failus iš pagrindinės operacinės sistemos, kuriuose gali būti neskelbtinų duomenų, kurie kitu atveju turėtų būti nepasiekiami net administratoriams. Kad galėtų išnaudoti šį pažeidžiamumą, užpuolikas turi turėti galiojančius administratoriaus kredencialus.”
Nors „Cisco Product Security Incident Response Team“ (PSIRT) nerado aktyvaus išnaudojimo įrodymų, ji perspėjo, kad koncepcijos įrodymo (PoC) išnaudojimą galima rasti internete.
„Cisco“ mano, kad „bet kokie problemos sprendimo būdai ir švelninimo priemonės (jei taikoma) yra laikini sprendimai“ ir teigė, kad „primygtinai rekomenduoja klientams atnaujinti fiksuotą programinę įrangą“, kad „išvengtų poveikio ateityje“ ir visiškai pašalintų šį pažeidžiamumą.
| Cisco ISE arba ISE-PIC leidimas | Pirmasis fiksuotas leidimas |
|---|---|
| Anksčiau nei 3.2 | Perkelkite į fiksuotą leidimą. |
| 3.2 | 3.2 8 pataisymas |
| 3.3 | 3.3 8 pataisymas |
| 3.4 | 3.4 4 pataisymas |
| 3.5 | Nepažeidžiamas. |
Trečiadienį „Cisco“ taip pat pašalino kelis „IOS XE“ pažeidžiamumus, leidžiančius neautentifikuotiems nuotoliniams užpuolikams iš naujo paleisti „Snort 3 Detection Engine“, kad suaktyvintų paslaugų atsisakymą arba gautų neskelbtinos informacijos „Snort“ duomenų sraute. Tačiau „Cisco PSIRT“ nerado viešai prieinamo išnaudojimo kodo ir jokių požymių, kad grėsmės veikėjai juos išnaudotų gamtoje.
Lapkričio mėnesį „Amazon“ grėsmių žvalgybos komanda perspėjo, kad įsilaužėliai išnaudojo didžiausio sunkumo Cisco ISE nulinę dieną (CVE-2025-20337), kad įdiegtų pritaikytą kenkėjišką programą. Liepos mėn. pataisydama „Cisco“ perspėjo, kad CVE-2025-20337 gali būti išnaudota, kad neautentifikuoti užpuolikai galėtų vykdyti savavališką kodą arba įgyti šakninių teisių pažeidžiamuose įrenginiuose.
Per kitas dvi savaites „Cisco“ atnaujino savo patarimą, kad įspėtų, kad CVE-2025-20337 buvo aktyviai eksploatuojamas, o tyrėjas Bobby Gouldas (pranešęs apie trūkumą) paskelbė koncepcijos įrodymo išnaudojimo kodą.
„Cisco“ gruodį taip pat perspėjo klientus, kad Kinijos grėsmių grupė, sekama kaip UAT-9686, naudoja didžiausio sunkumo „Cisco AsyncOS zero-day“ (CVE-2025-20393), kuri vis dar laukia atakų, nukreiptų į saugų el. pašto ir žiniatinklio tvarkyklę (SEWM) ir saugų el.
Kol bus išleisti saugos naujinimai CVE-2025-20393, Cisco pataria klientams apsaugoti ir apriboti prieigą prie pažeidžiamų prietaisų, apribojant ryšius su patikimais pagrindiniais kompiuteriais, ribojant interneto prieigą ir talpinant juos už užkardos, kad būtų galima filtruoti srautą.
MCP (Model Context Protocol) tampant LLM prijungimo prie įrankių ir duomenų standartu, saugos komandos sparčiai dirba, kad šios naujos paslaugos būtų saugios.
Šiame nemokamame apgaulės lape pateikiamos 7 geriausios praktikos, kurias galite pradėti naudoti jau šiandien.
