Cisco ISE’dagi o‘ta xavfli zaifliklar korporativ tarmoqlar xavfsizligiga jiddiy tahdid solmoqda!

Korporativ tarmoqlarda identifikatsiya, autentifikatsiya va kirishni boshqarish jarayonlari axborot xavfsizligining eng muhim tarkibiy qismlaridan biri hisoblanadi. Aynan shu sababli mazkur infratuzilmalarda aniqlanadigan zaifliklar tashkilotlarning butun axborot tizimlari xavfsizligiga salbiy ta’sir ko‘rsatishi mumkin.

Cisco kompaniyasi yaqinda o‘zining keng qo‘llaniladigan Identity Services Engine (ISE) hamda Identity Services Engine Passive Identity Connector (ISE-PIC) mahsulotlarida bir nechta o‘ta xavfli zaifliklar mavjudligini ma’lum qildi. Ushbu zaifliklar masofadan turib zararli kod bajarish va maxfiy ma’lumotlarni oshkor etish imkoniyatini yaratib, korporativ tarmoqlar uchun yuqori darajadagi xavf tug‘dirmoqda.

Mazkur zaifliklar CVE-2026-20181 va CVE-2026-20190 identifikatorlari bilan ro‘yxatga olingan bo‘lib, Cisco tomonidan 2026-yil 17-iyun kuni e’lon qilingan. Xavflilik darajasi bo‘yicha ularga CVSS 9.1 ball berilgan bo‘lib, bu ularning juda yuqori xavfga ega ekanligini anglatadi.

CVE-2026-20181: Masofadan turib zararli kod bajarish imkoniyati

Aniqlangan eng xavfli zaifliklardan biri CVE-2026-20181 bo‘lib, u foydalanuvchi tomonidan kiritilgan ma’lumotlarning yetarli darajada tekshirilmasligi natijasida yuzaga kelgan.

Mazkur zaiflikdan foydalanish uchun hujumchi tizimda administrator huquqlariga ega bo‘lishi kerak. Shundan so‘ng u maxsus tayyorlangan HTTP so‘rovlarini yuborish orqali zaif tizimda ixtiyoriy buyruqlarni bajarishi mumkin.

Muvaffaqiyatli ekspluatatsiya natijasida:

  • operatsion tizim darajasida buyruqlar bajarilishi;
  • foydalanuvchi huquqlaridan yuqori imtiyozlarga ega bo‘lish;
  • root darajasidagi nazoratni qo‘lga kiritish;
  • xavfsizlik mexanizmlarini chetlab o‘tish;
  • tarmoq infratuzilmasi ustidan to‘liq nazorat o‘rnatish imkoniyati paydo bo‘ladi.

Bundan tashqari, bir tugunli (single-node) ISE muhitlarida mazkur zaiflik xizmat ko‘rsatishni rad etish (Denial of Service – DoS) holatiga ham sabab bo‘lishi mumkin. Natijada yangi qurilmalar va foydalanuvchilar tarmoqqa autentifikatsiyadan o‘ta olmaydi, bu esa korporativ faoliyatning izdan chiqishiga olib kelishi mumkin.

CVE-2026-20190: Maxfiy ma’lumotlarning oshkor bo‘lishi xavfi

Ikkinchi zaiflik — CVE-2026-20190 — noto‘g‘ri avtorizatsiya nazorati bilan bog‘liq bo‘lib, masofadagi hujumchi tomonidan autentifikatsiyasiz ekspluatatsiya qilinishi mumkin.

Hujumchi maxsus shakllantirilgan so‘rovlarni yuborish orqali qurilmada saqlanayotgan ayrim maxfiy ma’lumotlarga kirish imkoniyatiga ega bo‘ladi. Ular orasida:

  • xeshlangan (hashed) autentifikatsiya ma’lumotlari;
  • tizim konfiguratsiyasiga oid ma’lumotlar;
  • foydalanuvchilar va xizmat hisoblariga oid ayrim ma’lumotlar bo‘lishi mumkin.

Bunday ma’lumotlar keyingi bosqichdagi hujumlarda, jumladan, parollarni tiklash, lateral harakatlanish (lateral movement) va imtiyozlarni oshirish kabi tahdidlarni amalga oshirishda qo‘llanilishi mumkin.

Qaysi versiyalar ta’sirlangan?

Cisco ma’lumotlariga ko‘ra, zaifliklar turli darajada barcha Cisco ISE va ISE-PIC versiyalariga ta’sir ko‘rsatadi. Kompaniya muammoni bartaraf etuvchi yangilanishlarni quyidagi versiyalar uchun taqdim etgan:

  • Cisco ISE 3.3 Patch 11;
  • Cisco ISE 3.4 Patch 6.

Shuningdek, Cisco ISE 3.5 uchun tuzatishlar Patch 4 tarkibida chiqarilishi rejalashtirilgan.

Qo‘llab-quvvatlanmaydigan eski versiyalardan foydalanayotgan tashkilotlarga imkon qadar tezroq qo‘llab-quvvatlanadigan versiyalarga migratsiya qilish tavsiya etilmoqda.

Muhimi, Cisco ushbu zaifliklar uchun vaqtinchalik himoya chorasi yoki muqobil yechim (workaround) mavjud emasligini ma’lum qilgan. Shu sababli dasturiy ta’minotni yangilash yagona samarali himoya usuli hisoblanadi.

Hozircha faol ekspluatatsiya holatlari aniqlanmagan

Cisco Product Security Incident Response Team (PSIRT) ma’lumotlariga ko‘ra, hozirgi vaqtga qadar mazkur zaifliklardan amalda foydalanilganligi bo‘yicha tasdiqlangan holatlar aniqlanmagan.

Biroq tajriba shuni ko‘rsatadiki, identifikatsiya va kirishni boshqarish tizimlaridagi yuqori darajadagi zaifliklar ommaga e’lon qilingandan so‘ng kiberjinoyatchilar tomonidan tezkor ravishda o‘rganiladi va ekspluatatsiya qilinadi. Shu sababli tashkilotlar yangilanishlarni kechiktirmasdan o‘rnatishlari lozim.

Tashkilotlar uchun tavsiyalar

Cisco ISE infratuzilmasidan foydalanayotgan tashkilotlarga quyidagi choralarni ko‘rish tavsiya etiladi:

  • tizim versiyalarini zudlik bilan inventarizatsiya qilish;
  • zaif versiyalarni aniqlash va yangilash;
  • administrator hisoblaridan foydalanishni cheklash;
  • boshqaruv interfeyslariga faqat ishonchli tarmoqlardan kirishni ta’minlash;
  • HTTP so‘rovlari va tizim jurnallarini muntazam monitoring qilish;
  • imtiyozlarning oshirilishi bilan bog‘liq shubhali faoliyatlarni nazorat qilish;
  • ko‘p faktorli autentifikatsiyani (MFA) joriy etish;
  • tarmoq segmentatsiyasini kuchaytirish;
  • xavfsizlik hodisalarini aniqlash va ularga javob berish mexanizmlarini takomillashtirish.

Cisco ISE va ISE-PIC mahsulotlarida aniqlangan CVE-2026-20181 hamda CVE-2026-20190 zaifliklari korporativ identifikatsiya infratuzilmasiga qaratilgan eng jiddiy tahdidlardan biri sifatida baholanmoqda. Ayniqsa, masofadan turib zararli kod bajarish imkonini beruvchi zaiflik hujumchilarga tizim ustidan to‘liq nazorat o‘rnatish imkoniyatini yaratadi.

Mazkur holat identifikatsiya va kirishni boshqarish tizimlari nafaqat foydalanuvchilarni autentifikatsiya qilish vositasi, balki butun korporativ tarmoq xavfsizligining tayanch elementi ekanligini yana bir bor namoyon etmoqda. Shu bois tashkilotlar o‘z infratuzilmalarini muntazam ravishda yangilab borishlari, xavfsizlik monitoringini kuchaytirishlari va aniqlangan zaifliklarni imkon qadar tez bartaraf etishlari zarur.