Cisco ISE’dagi jiddiy zaiflik orqali xakerlar masofadan maxfiy ma’lumotlarga kira oladi

CVE-2025-20286: Cisco ISE bulutli muhitdagi xavfsizlik inqirozi va ekspluatatsiya kodi ochiqda

2025-yil kiberxavfsizlik sohasi uchun yana bir xavotirli hodisa bilan yodda qolmoqda. Cisco kompaniyasi o‘zining mashhur Identity Services Engine (ISE) platformasida jiddiy xavfsizlik zaifligi aniqlanganini e’lon qildi. Eng dahshatlisi, bu zaiflik uchun proof-of-concept (PoC) ekspluatatsiya kodi allaqachon ochiq internetda tarqalgan.

Ushbu zaiflik CVE-2025-20286 sifatida ro‘yxatga olingan bo‘lib, CVSS reytingi 9.9 ballni tashkil etadi — ya’ni bu eng yuqori darajadagi tahdid hisoblanadi.

Cisco ISE bulut platformalarida (AWS, Azure, Oracle Cloud Infrastructure) joylashtirilganda, autentifikatsiya uchun kerakli maxfiy kalitlar (credentials) noto‘g‘ri tarzda, bir xil ko‘rinishda yaratilgan. Bu esa shuni anglatadiki:

Bir xil versiyadagi Cisco ISE’ning bir nechta bulutli instansiyalari bir xil login-parol juftligini ishlatadi.

Bu juda katta xavf tug‘diradi. Chunki biror xaker bitta ISE instansiyasidan credential’ni qo‘lga kiritsa, xuddi shu versiyadagi boshqa ISE tizimlariga ham erkin kirishi mumkin bo‘ladi.

🎯 Zaiflikdan zarar ko‘rishi mumkin bo‘lgan versiyalar va platformalar:

Cloud PlatformZaif ISE Versiyalari
AWS3.1, 3.2, 3.3, 3.4
Azure3.2, 3.3, 3.4
OCI3.2, 3.3, 3.4

Hujumchi quyidagi shartlarni bajara olsa, tizimga kirishi mumkin:

  • Tarmoqqa yoki boshqaruv interfeysiga kirish huquqiga ega bo‘lishi kerak
  • Maqsadli ISE versiyasi va platformasi uchun static credentialni bilishi kerak

Bu shartlar bajarilgach, hujumchi:

  • Maxfiy foydalanuvchi ma’lumotlariga kira oladi
  • Tizimda ma’muriy amallarni bajara oladi

Cisco allaqachon zaruriy hotfix yamoqlarni chiqarib, foydalanuvchilarga quyidagi faylni o‘rnatishni tavsiya qilmoqda:

ise-apply-CSCwn63400_3.1.x_patchall-SPA.tar.gz

Doimiy yechimlar jadvali:

  • ISE 3.5 — Avgust 2025
  • ISE 3.4P3 — Oktabr 2025
  • ISE 3.3P8 — Noyabr 2025

🛡️ Zudlik bilan amalga oshirilishi kerak bo‘lgan xavfsizlik choralar

  1. Cloud Security Group sozlamalarini yangilang: Faqat ishonchli administrator IP-manzillariga ruxsat bering.
  2. Cisco ISE’ning ichki IP Allowlisting funksiyasidan foydalaning.
  3. Yangi o‘rnatishlar uchun application reset-config ise buyrug‘i orqali yangi credential yaratish mumkin (ehtiyot bo‘ling: bu sozlama butun tizimni zavod sozlamalariga qaytaradi).

Ushbu muhim zaiflikni Kentaro KawaneGMO Cybersecurity by Ierae kompaniyasi mutaxassisi tomonidan aniqlangan va Cisco PSIRT (Product Security Incident Response Team)ga yetkazilgan.

Cisco rasmiy bayonotida hozircha real hayotdagi ekspluatatsiya holatlari aniqlanmaganini bildirgan bo‘lsa-da, PoC kodi ochiqda ekanligi, tez orada zararli hujumlar boshlanishi mumkinligini anglatadi.

Cisco ISE — ko‘plab tashkilotlar uchun tarmoq identifikatsiyasi va kirishni boshqarish vositasi sifatida muhim ahamiyatga ega. Shunday ekan, bu zaiflik barcha IT va xavfsizlik bo‘limlari uchun zudlik bilan choralar ko‘rishni talab qiladi.

Samarali xavfsizlik — bu nafaqat yamoq o‘rnatish, balki butun arxitekturani qayta baholash va tarmoqga kirishni qat’iy nazorat qilishdan boshlanadi.

📲 So‘nggi kiberxavfsizlik yangiliklari, tahdidlar, zaifliklar va himoya usullari haqida tezkor maqola va kitoblarni kuzatib borish uchun @uzcert_live rasmiy Telegram kanaliga obuna bo‘ling: 👉 https://t.me/uzcert_live