Cisco ISE dasturida aniqlangan zaifliklar masofadan ixtiyoriy buyruqlarni bajarish imkoniyatini beradi

Bugungi kunda kiberxavfsizlik muammolari korporativ tarmoqlar uchun jiddiy tahdid solmoqda. Yirik kompaniyalar va tashkilotlar o‘z tarmoqlarini himoya qilish uchun Cisco Identity Services Engine (ISE) dasturiy ta’minotidan foydalanadilar. Biroq, yaqinda Cisco kompaniyasi CVE-2025-20124 va CVE-2025-20125 nomli ikkita yuqori darajali zaiflikni e’lon qildi. Ushbu kamchiliklar tajovuzkorlarga masofadan autentifikatsiyalangan holda tizimda ixtiyoriy buyruqlarni bajarish, huquqlarni oshirish va tizim konfiguratsiyalarini o‘zgartirish imkonini beradi.

Mazkur zaifliklar CVSS (Common Vulnerability Scoring System) reytingi bo‘yicha juda yuqori baholangan: CVE-2025-20124 – 9.9 ball, CVE-2025-20125 – 9.1 ball. Cisco ushbu muammolarni bartaraf etish uchun dasturiy ta’minotni yangilashni tavsiya etmoqda, lekin hech qanday muqobil himoya choralari (workarounds) mavjud emas.

CVE-2025-20124: Xavfli Java deserializatsiyasi

Bu zaiflik Cisco ISE dasturining muayyan API’larida foydalanuvchi kiritgan Java bayt oqimlarining noto‘g‘ri deserializatsiyasi natijasida yuzaga keladi. Ushbu kamchilikni ekspluatatsiya qilish uchun hujumchiga read-only (faqat o‘qish huquqiga ega) administrator hisob ma’lumotlari kerak bo‘ladi.

🔴 Xavflilik darajasi: 9.9 CVSS (o‘ta xavfli)
🔴 Potensial zarar: Tizimda root huquqlariga ega bo‘lib, masofadan buyruqlar bajarish imkoniyati
🔴 Qanday ishlaydi?

Hujumchi maxsus zararli Java obyekti tayyorlaydi.
Ushbu obyektni Cisco ISE API’siga jo‘natadi.
Agar zaiflik ekspluatatsiya qilinsa, hujumchi tizimda root darajasida buyruqlarni bajarish imkoniyatiga ega bo‘ladi.
Bu orqali u tizimni butunlay egallab olishi yoki unga zarar yetkazishi mumkin.

CVE-2025-20125: Avtorizatsiyani chetlab o‘tish

Bu zaiflik Cisco ISE API’larida yetarli darajada tekshirish mexanizmining yo‘qligi sababli yuzaga keladi. Hujumchi maxsus HTTP so‘rovini yuborish orqali avtorizatsiya talab qilinadigan ma’lumotlarga noqonuniy kirish imkoniyatiga ega bo‘ladi.

🟠 Xavflilik darajasi: 9.1 CVSS
🟠 Potensial zarar: Tizim konfiguratsiyalarini o‘zgartirish, ichki ma’lumotlarga kirish, serverni qayta yuklash
🟠 Qanday ishlaydi?

Hujumchi tizimga maxsus ishlab chiqilgan HTTP so‘rovini yuboradi.
Tizim ushbu so‘rovni tekshirishda kamchiliklarga ega bo‘lgani uchun hujumchi zaiflikdan foydalanishi mumkin.
Ushbu ekspluatatsiya orqali hujumchi maxfiy ma’lumotlarni o‘g‘irlashi, tizim sozlamalarini o‘zgartirishi yoki butun serverni qayta ishga tushirishi mumkin.

Cisco ISE va Cisco ISE Passive Identity Connector (ISE-PIC) dasturlari ushbu zaifliklarga ega bo‘lib, qanday konfiguratsiyada ishlashidan qat’i nazar hujumga uchrashi mumkin. Quyidagi dasturiy ta’minot versiyalari himoyasiz:

Cisco ISE 3.0
Cisco ISE 3.1 (faqat 3.1P10 versiyasida tuzatilgan)
Cisco ISE 3.2 (faqat 3.2P7 versiyasida tuzatilgan)
Cisco ISE 3.3 (faqat 3.3P4 versiyasida tuzatilgan)

Cisco ISE 3.4 versiyasi ushbu zaifliklardan xoli ekanligi tasdiqlangan.

Cisco kompaniyasi ushbu zaifliklarni bartaraf etish uchun tezkor dasturiy yangilanishlar chiqardi. Tizim xavfsizligini ta’minlash uchun foydalanuvchilarga zudlik bilan quyidagi versiyalarga yangilanish tavsiya etiladi:

✔ Cisco ISE 3.1 – 3.1P10 yoki undan yuqori versiyaga yangilash
✔ Cisco ISE 3.2 – 3.2P7 yoki undan yuqori versiyaga yangilash
✔ Cisco ISE 3.3 – 3.3P4 yoki undan yuqori versiyaga yangilash

🔴 Muhim! Ushbu zaifliklar uchun hech qanday muqobil himoya choralari mavjud emas, shuning uchun yangilanishlarni darhol o‘rnatish shart!

Cisco ISE tizimidagi ushbu muhum zaifliklar tashkilotlar va korporativ foydalanuvchilar uchun jiddiy xavf tug‘diradi. Agar ushbu kamchiliklar ekspluatatsiya qilinsa, hujumchilar masofadan tizimni egallab olishi, maxfiy ma’lumotlarga kirishi va butun serverni boshqarishi mumkin.

🔹 Tavsiya etilgan chora-tadbirlar:
✅ Cisco ISE’ni so‘nggi yangilanishlarga darhol o‘tkazing.
✅ Administrator hisoblarini himoya qiling, ularga faqat ishonchli foydalanuvchilar kira olishi kerak.
✅ Kuzatuv tizimlarini faollashtiring, tizim loglarini muntazam tekshiring.
✅ Xavfsizlik siyosatini mustahkamlash va shubhali faoliyatni oldindan aniqlash uchun SIEM tizimlaridan foydalaning.

📌 Natija: Yangilanishlarni o‘z vaqtida o‘rnatish va xavfsizlik choralarini kuchaytirish orqali Cisco ISE foydalanuvchilari o‘z infratuzilmasini potensial kiberhujumlardan himoya qilishlari mumkin.

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Kiberxavfsizlik hodisalariga
chora ko'rish xizmati

Cisco ISE dasturida aniqlangan zaifliklar masofadan ixtiyoriy buyruqlarni bajarish imkoniyatini beradi

CVE-2025-20124: Xavfli Java deserializatsiyasi

CVE-2025-20125: Avtorizatsiyani chetlab o‘tish

CVE-2025-20124: Xavfli Java deserializatsiyasi

CVE-2025-20125: Avtorizatsiyani chetlab o‘tish

CL0P Ransomware guruhi telekommunikatsiya va sogʻliqni saqlash sektorlariga keng koʻlamli hujumlar uyushtirmoqda

Apache Ignite’da aniqlangan kritik zaiflik masofadan kod bajarish imkonini berishi mumkin

Active Directory pentesting uchun yangi vosita: KeyCredentialLink boshqaruvi