Under Attack?
Hintergrund:
Cisco hat eine kritische Schwachstelle mit der Kennung CVE-2025-20337 (mit einem CVSS-Score von 10) in Identity Services Engine (ISE) und Cisco Identity Services Engine Passive Identity Connector (ISE-PIC) behoben. Ein nicht authentifizierter Angreifer könnte diese Schwachstelle ausnutzen, um beliebigen Code auf dem darunterliegenden Betriebssystem mit Root-Rechten auszuführen.
Zusammenfassung der schwachstelle:
Eine Schwachstelle in einer spezifischen API von Cisco ISE und Cisco ISE-PIC könnte es einem nicht authentifizierten Angreifer aus der Ferne ermöglichen, beliebigen Code auf dem darunterliegenden Betriebssystem als Root-Benutzer auszuführen. Der Angreifer benötigt keine gültigen Zugangsdaten, um diese Schwachstelle auszunutzen. Die Schwachstelle resultiert aus einer unzureichenden Validierung der Benutzereingaben. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine speziell präparierte API-Anfrage sendet. Ein erfolgreicher Angriff könnte dem Angreifer Root-Rechte auf dem betroffenen Gerät verschaffen.
Cisco PSIRT sind derzeit keine öffentlichen Bekanntmachungen oder bösartige Ausnutzungen der in dieser Mitteilung beschriebenen Schwachstellen bekannt.
Betroffene versionen:
CVE-2025-20281 und CVE-2025-20337: Diese Schwachstellen betreffen Cisco ISE und ISE-PIC Versionen 3.3 und 3.4, unabhängig von der Konfiguration des Geräts. Cisco ISE und ISE-PIC Version 3.2 oder älter sind von diesen Schwachstellen nicht betroffen.
-
Wenn Cisco ISE die Version 3.4 Patch 2 verwendet, sind keine weiteren Maßnahmen erforderlich.
-
Wenn Cisco ISE die Version 3.3 Patch 6 verwendet, stehen zusätzliche Korrekturen in Version 3.3 Patch 7 zur Verfügung, und das Gerät muss aktualisiert werden.
-
Wenn Cisco ISE den Hot Patch ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz oder ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz installiert hat, empfiehlt Cisco ein Upgrade auf Version 3.3 Patch 7 oder 3.4 Patch 2. Diese Hot Patches beheben nicht die Schwachstelle CVE-2025-20337 und wurden vom CCO entfernt.
Workarounds:
Es gibt keine Workarounds für diese Schwachstelle.
empfohlene maßnahmen:
Es wird Kunden empfohlen, auf eine korrigierte Softwareversion gemäß der folgenden Tabelle zu aktualisieren.
Cisco hat kostenlose Software-Updates veröffentlicht, die die in dieser Mitteilung beschriebene Schwachstelle beheben. Kunden mit Serviceverträgen, die regelmäßige Software-Updates beinhalten, sollten Sicherheitsupdates über ihre üblichen Update-Kanäle beziehen.
| Cisco ISE oder ISE-PIC Version | Erste korrigierte Version für CVE-2025-20281 | Erste korrigierte Version für CVE-2025-20282 | Erste korrigierte Version für CVE-2025-20337 |
|---|---|---|---|
| 3.2 und älter | Nicht anfällig | Nicht anfällig | Nicht anfällig |
| 3.3 | 3.3 Patch 7 | Nicht anfällig | 3.3 Patch 7 |
| 3.4 | 3.4 Patch 2 | 3.4 Patch 2 | 3.4 Patch 2 |
Cisco Security Bulletin – CVE-2025-20337
Wenn Sie Bedenken bezüglich der in dieser Mitteilung beschriebenen Bedrohungen haben oder Hilfe benötigen, um die notwendigen Schritte zum Schutz Ihrer Organisation zu bestimmen, kontaktieren Sie bitte Ihren Kundenbetreuer oder setzen Sie sich mit uns in Verbindung, um zu erfahren, wie Sie Ihre Organisation optimal schützen können.
