Under Attack?
Bakgrund:
Cisco har åtgärdat en kritisk sårbarhet, identifierad som CVE-2025-20337 (med CVSS-poäng på 10), i Identity Services Engine (ISE) och Cisco Identity Services Engine Passive Identity Connector (ISE-PIC). En obehörig angripare kan utnyttja denna sårbarhet för att exekvera godtycklig kod på det underliggande operativsystemet med root-behörigheter.
Sammanfattning av sårbarheten:
En sårbarhet i ett specifikt API i Cisco ISE och Cisco ISE-PIC kan göra det möjligt för en obehörig, fjärrangripare att exekvera godtycklig kod på det underliggande operativsystemet som root-användare. Angriparen behöver inte giltiga autentiseringsuppgifter för att utnyttja denna sårbarhet. Sårbarheten orsakas av otillräcklig validering av användarinmatning. En angripare kan utnyttja sårbarheten genom att skicka en specialutformad API-förfrågan. En lyckad attack kan ge angriparen root-behörighet på den drabbade enheten.
Cisco PSIRT känner inte till några offentliga meddelanden eller skadligt utnyttjande av sårbarheterna som beskrivs i detta meddelande.
Berörda versioner:
CVE-2025-20281 och CVE-2025-20337: Dessa sårbarheter påverkar Cisco ISE och ISE-PIC versionerna 3.3 och 3.4, oberoende av enhetens konfiguration. Sårbarheterna påverkar inte Cisco ISE och ISE-PIC version 3.2 eller tidigare.
-
Om Cisco ISE kör version 3.4 Patch 2 krävs inga ytterligare åtgärder.
-
Om Cisco ISE kör version 3.3 Patch 6 finns ytterligare korrigeringar tillgängliga i version 3.3 Patch 7, och enheten måste uppdateras.
-
Om Cisco ISE har installerad hot patch ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz eller ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz rekommenderar Cisco att uppdatera till version 3.3 Patch 7 eller 3.4 Patch 2. Dessa hot patches åtgärdar inte sårbarheten CVE-2025-20337 och har tagits bort från CCO.
Alternativa lösningar:
Det finns inga alternativa lösningar för att hantera denna sårbarhet.
rekommenderade åtgärder:
Kunder rekommenderas att uppgradera till en rättad programvaruversion enligt tabellen nedan.
Cisco har släppt kostnadsfria programuppdateringar som åtgärdar sårbarheten beskriven i detta meddelande. Kunder med serviceavtal som berättigar dem till regelbundna programuppdateringar bör erhålla säkerhetsuppdateringar genom sina vanliga uppdateringskanaler.
| Cisco ISE eller ISE-PIC Version | Första rättade versionen för CVE-2025-20281 | Första rättade versionen för CVE-2025-20282 | Första rättade versionen för CVE-2025-20337 |
|---|---|---|---|
| 3.2 och tidigare | Ej sårbar | Ej sårbar | Ej sårbar |
| 3.3 | 3.3 Patch 7 | Ej sårbar | 3.3 Patch 7 |
| 3.4 | 3.4 Patch 2 | 3.4 Patch 2 | 3.4 Patch 2 |
Cisco Security Bulletin – CVE-2025-20337
Om du är oroad över något av de hot som beskrivs i detta meddelande eller behöver hjälp med att identifiera vilka åtgärder som behövs för att skydda din organisation mot de mest betydande hoten, kontakta din kundansvariga eller hör av dig för att få reda på hur du bäst kan skydda din organisation.
.png?width=398&height=65&name=3-ISO-Logos-(1).png)
