Cisco ISE’da xavfli RCE zaifliklari aniqlandi
Cisco Systems, dunyo bo‘yicha keng qo‘llaniladigan tarmoq yechimlari ishlab chiqaruvchisi, yaqinda o‘zining Identity Services Engine (ISE) platformasida aniqlangan va hozirda faol ekspluatatsiya qilinayotgan juda xavfli zaifliklar haqida ogohlantirish e’lon qildi. Mazkur zaifliklar tashkilotlar tarmog‘iga to‘liq kirish imkonini berishi mumkin — bu esa IT xavfsizligi nuqtai nazaridan favqulodda tahlikali holatdir.
🔍 Zaiflik tafsilotlari
Ushbu muhim xatoliklar quyidagi uchta CVE raqamlari bilan rasmiylashtirilgan:
- CVE-2025-20281
- CVE-2025-20282
- CVE-2025-20337
Ular Cisco ISE va ISE Passive Identity Connector (ISE-PIC) tizimlariga taalluqli bo‘lib, hujumchiga masofadan autentifikatsiyasiz holda maxsus API so‘rovlar yuborish orqali root (eng yuqori tizim darajasi) huquqini qo‘lga kiritish imkonini beradi. Zaifliklarning xavfliligi maksimal – 10.0 CVSS balli bilan baholangan.
🧨 Zaifliklarning mohiyati
- CVE-2025-20281 va CVE-2025-20337 – API’lar orqali yuborilgan zararli so‘rovlar yetarli darajada tekshirilmagani sababli, foydalanuvchidan hech qanday login talab qilmasdan root darajasida buyruq bajarilishiga yo‘l ochadi.
- CVE-2025-20282 – Faqat ISE 3.4 versiyasiga taalluqli bo‘lib, fayl xavfsizligini tekshiruvchi mexanizmlar yetishmasligi natijasida, hujumchi istalgan faylni tizimning muhim kataloglariga yuklashi va uni ishga tushirishi mumkin.
Bu zaifliklar CWE-269 (noto‘g‘ri huquq nazorati) va CWE-74 (xavfli belgilarni neytrallashtirishdagi kamchilik) kategoriyalariga kiradi. Bu esa, muammo dasturiy ta’minotning tub dizaynidagi yetarli xavfsizlik nazoratining mavjud emasligidan darak beradi.
⚠️ Ishlab chiqaruvchi ogohlantiradi: ekspluatatsiya allaqachon boshlangan
Cisco’ning maxsus PSIRT (Product Security Incident Response Team) jamoasi 2025-yil iyul oyida ushbu zaifliklar allaqachon kiberhujumchilar tomonidan faol ekspluatatsiya qilinayotganini rasman tasdiqladi. Buning ortidan kompaniya barcha tashkilotlarni favqulodda tartibda patchlarni o‘rnatishga chaqirdi.
Eng xavfli jihat — bu zaifliklar hech qanday autentifikatsiyani talab qilmaydi, ya’ni kirish huquqisiz foydalanuvchi ham tizimni osonlikcha egallab olishi mumkin. Hujum natijasida tarmoqdagi barcha qurilmalar, foydalanuvchi ma’lumotlari va siyosatlar ustidan to‘liq nazorat hujumchiga o‘tishi mumkin.
Qanday versiyalar ta’sirlangan va qanday chora ko‘rish kerak?
Cisco quyidagi korrektiv patchlarni e’lon qildi:
| ISE versiyasi | CVE-2025-20281 | CVE-2025-20282 | CVE-2025-20337 |
|---|---|---|---|
| 3.2 va undan oldingi | Ta’sirlanmagan | Ta’sirlanmagan | Ta’sirlanmagan |
| 3.3 | 3.3 Patch 7 | Ta’sirlanmagan | 3.3 Patch 7 |
| 3.4 | 3.4 Patch 2 | 3.4 Patch 2 | 3.4 Patch 2 |
❗ Diqqat: Cisco avvalroq e’lon qilgan ayrim “tezkor patchlar” (masalan,
ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz) CVE-2025-20337 zaifligini bartaraf eta olmagan. Ular rasmiy tarqatishdan olib tashlangan.
Cisco va xavfsizlik tadqiqotchilari tomonidan quyidagi choralar qat’iy tavsiya etiladi:
- ✅ ISE versiyasini zudlik bilan aniqlang va ta’sirlangan versiyalarda dolzarb patchlarni o‘rnating.
- ✅ Avvalgi “hot patchlar”dan foydalanmay, faqat ruxsat etilgan rasmiy relizlarni qo‘llang.
- ✅ Ichki tarmoqdagi barcha kirish nuqtalarini tekshiring va faol monitoring o‘rnatilsin.
- ✅ Tizimda root darajasida o‘zgarishlar sodir bo‘layotganini aniqlash uchun loglar tahlil qilinsin.
- ✅ Uzoq muddatli xavfsizlikni ta’minlash uchun ISE konfiguratsiyasi bo‘yicha mustaqil xavfsizlik auditi o‘tkazish tavsiya etiladi.
Cisco ISE tizimlari korxona tarmog‘ining kirish siyosatini boshqarish va autentifikatsiyani ta’minlashda hal qiluvchi rol o‘ynaydi. Bunday zaifliklar esa, so‘zsiz, hujumchilar uchun “oltin kalit” bo‘lib xizmat qilishi mumkin.
Tashkilotlar o‘z infratuzilmalarini zamon talabiga mos himoya qilishlari, zaifliklarni bartaraf etish bo‘yicha tezkor harakat qilishlari va mavjud xavfga nisbatan sustkashlikka yo‘l qo‘ymasliklari lozim.
