Cisco ISE’dagi jiddiy zaiflik: maxfiy ma’lumotlar xavf ostida
Korporativ tarmoqlarda kirishni boshqarish va Zero Trust arxitekturasini ta’minlashda muhim o‘rin tutuvchi Cisco Identity Services Engine (ISE) va ISE Passive Identity Connector (ISE-PIC) tizimlarida xavfli darajadagi yangi zaiflik aniqlanib, kiberxavfsizlik mutaxassislarida jiddiy xavotir uyg‘otdi. Mazkur zaiflik orqali masofadan turib, hatto tizim administratorlari uchun ham yopiq bo‘lgan muhim server fayllariga ruxsatsiz kirish mumkin.
Cisco tomonidan CVE-2026-20029 identifikatori bilan ro‘yxatga olingan ushbu muammo veb-boshqaruv interfeysida XML fayllarni noto‘g‘ri qayta ishlash (XXE — XML External Entity) bilan bog‘liq. Hozircha aniq CVSS balli e’lon qilinmagan bo‘lsa-da, zaiflik yuqori darajadagi xavf sifatida baholanmoqda, chunki u to‘g‘ridan-to‘g‘ri maxfiy ma’lumotlarning oshkor bo‘lishiga olib kelishi mumkin.
Zaiflik qanday ishlaydi?
Hujumchi amaldagi administrator hisob ma’lumotlariga ega bo‘lgan taqdirda, maxsus tayyorlangan zararli XML faylni tizimga yuklashi mumkin. Natijada Cisco ISE operatsion tizim darajasidagi ixtiyoriy fayllarni o‘qishga majbur bo‘ladi. Bu esa quyidagi ma’lumotlarning sizib chiqishiga sabab bo‘lishi mumkin:
- konfiguratsiya fayllari;
- autentifikatsiya kalitlari va parollar;
- ichki xizmatlarga oid maxfiy ma’lumotlar;
- boshqa muhim tizim ma’lumotlari.
Cisco o‘z rasmiy ogohlantirishida: “Muvaffaqiyatli ekspluatatsiya tizimda yashirin bo‘lishi kerak bo‘lgan fayllarga ruxsatsiz kirish imkonini beradi”, — deya alohida ta’kidlagan. Eng xavflisi, ushbu zaiflik uchun hech qanday vaqtinchalik yechim (workaround) mavjud emas.
Qaysi versiyalar xavf ostida?
Cisco PSIRT (Product Security Incident Response Team) ma’lumotlariga ko‘ra, Cisco ISE va ISE-PIC’ning barcha versiyalari, konfiguratsiyadan qat’i nazar, ushbu zaiflikka ta’sirchan hisoblanadi. Boshqa Cisco mahsulotlarida bu muammo aniqlanmagan.
Hozircha real hujumlar qayd etilmagan bo‘lsa-da, ekspluatatsiya uchun Proof-of-Concept (PoC) kodi ommaga ochiq holatda. Bu esa kiberjinoyatchilar tomonidan yaqin kelajakda faol suiiste’mol qilinishi ehtimolini keskin oshiradi.
Zaiflikni aniqlagan tadqiqotchi — Trend Micro’ning Zero Day Initiative dasturi a’zosi Bobby Gould bo‘lib, u kashfiyot uchun rasman e’tirof etilgan.
Tuzatilgan versiyalar va yangilash tavsiyalari
Cisco foydalanuvchilarga imkon qadar tezroq tizimlarni yangilashni qat’iy tavsiya qiladi. Quyidagi versiyalar zaiflikdan xoli hisoblanadi:
| Cisco ISE / ISE-PIC versiyasi | Tuzatilgan birinchi reliz |
|---|---|
| 3.2 dan oldingi versiyalar | Yangi xavfsiz relizga migratsiya |
| 3.2 | 3.2 Patch 8 |
| 3.3 | 3.3 Patch 8 |
| 3.4 | 3.4 Patch 4 |
| 3.5 | Zaif emas |
Yangilash jarayoni faqat Cisco’ning rasmiy qo‘llanmalari orqali amalga oshirilishi lozim. PSIRT faqat yuqorida ko‘rsatilgan relizlarning xavfsizligini tasdiqlagan.
Nima uchun bu zaiflik ayniqsa xavfli?
Cisco ISE ko‘plab tashkilotlarda tarmoq xavfsizligining markaziy boshqaruv nuqtasi hisoblanadi. U foydalanuvchilar, qurilmalar va xizmatlar o‘rtasidagi ishonchni boshqaradi. Ayniqsa, moliyaviy sektor, sog‘liqni saqlash, davlat tashkilotlari va yirik korporatsiyalar uchun bunday zaiflik jiddiy huquqiy va obro‘ yo‘qotish xavfini tug‘diradi.
Mutaxassislar ushbu XXE zaifligini boshqa ekspluatatsiyalar, masalan, privilegiyalarni oshirish yoki ichki tarmoq bo‘ylab harakatlanish bilan zanjirlab, yanada chuqurroq buzilishlarga erishish mumkinligini istisno qilmayapti.
Ochiq PoC mavjudligi va Cisco ISE’ning keng tarqalganligi ushbu zaiflikni yaqin davrning eng xavfli korporativ tahdidlaridan biriga aylantiradi. Shuning uchun barcha tashkilotlar:
- ISE va ISE-PIC versiyalarini zudlik bilan tekshirishi;
- rasmiy xavfsizlik yangilanishlarini o‘rnatishi;
- administrator hisoblaridan foydalanishni qat’iy nazoratga olishi;
- xavfsizlik monitoringini kuchaytirishi zarur.
Bugungi kunda kiberxavfsizlik — bu tanlov emas, balki zarurat. Cisco ISE’dagi ushbu holat esa buni yana bir bor yaqqol isbotlaydi.
