Cisco ISE tizimida juda xavfli zaifliklar aniqlandi: masofaviy root darajasidagi boshqaruvga yo‘l ochildi

Zamonaviy korxona tarmoqlarining yuragi hisoblangan autentifikatsiya va identifikatsiya tizimlarida zaiflik aniqlanishi – bu faqat texnik muammo emas, balki butun infratuzilma xavfsizligiga tahdid degani. Shunday tahdidli vaziyat hozirda Cisco Identity Services Engine (ISE) va ISE Passive Identity Connector (ISE-PIC) mahsulotlarida yuzaga chiqdi.

⚠️ CVE-2025-20281 va CVE-2025-20282 – maksimal xavf darajasidagi zaifliklar

Cisco tomonidan tasdiqlangan va 10.0 CVSS bahosi bilan eng yuqori xavf darajasi berilgan ushbu ikki zaiflik quyidagilarni anglatadi:

  1. CVE-2025-20281 – masofaviy autentifikatsiyasiz foydalanuvchi tomonidan root huquqlarda kod bajarilishi (RCE)
  2. CVE-2025-20282 – tizimga istalgan faylni yuklab, uni root darajasida ishga tushirish imkoniyati

Bu zaifliklar orqali har qanday tajovuzkor, hech qanday parol yoki ruxsatsiz, tarmoq orqali tizimga kirib, to‘liq boshqaruvni qo‘lga kiritishi mumkin.

🧨 CVE-2025-20281 – Xavfli API orqali root darajasidagi hujum

Ushbu zaiflik Cisco ISE 3.3 versiyasi va undan yuqorilarga taalluqli. Unda muammo foydalanuvchi tomonidan yuboriladigan API so‘rovlaridagi maxsus belgilarni to‘g‘ri neytrallashtirmaslik bilan bog‘liq (CWE-74).

🕵️‍♂️ Hujumchi maxsus shakllantirilgan API so‘rov yuboradi va tizimda hech qanday autentifikatsiyasiz istalgan buyruqni root darajasida bajartiradi. Bunda hujumchidan na parol, na foydalanuvchi roli talab etilmaydi.

📁 CVE-2025-20282 – Tizimga istalgan faylni yuklash imkoniyati

Bu zaiflik esa faqat Cisco ISE 3.4 versiyasiga taalluqli bo‘lib, ichki API’lar orqali xavfli fayllarni tizimga joylashtirish imkonini beradi.

🗂 Tizim fayl nomi va joylashuvini tekshirmasdan, hujumchiga privilegiyalangan papkalarga zararli fayl yuklashga ruxsat beradi. Shundan so‘ng esa bu fayllar operatsion tizim darajasida ishga tushiriladi.

Har ikkala zaiflik ham autentifikatsiyani talab qilmaydi, foydalanuvchi aralashuvisiz amalga oshadi va tizimga to‘liq kirish imkoniyatini beradi.

🔧 Cisco tomonidan taqdim etilgan xavfsizlik yangilanishlari

Cisco ushbu zaifliklarni bartaraf etish uchun quyidagi yangilanishlarni (patch) chiqarib bo‘ldi:

  • ISE 3.3 uchun Patch 6:
    Fayl: ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz
  • ISE 3.4 uchun Patch 2 (har ikkala zaiflik uchun):
    Fayl: ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz

Cisco hech qanday muqobil himoya (workaround) yo‘qligini bildirgan. Bu esa yamoq o‘rnatish zarurat emas, balki majburiyat ekanini anglatadi.

Hozircha Cisco PSIRT (Product Security Incident Response Team) ushbu zaifliklar asosida ommaviy ekspluatatsiya yoki zararli faoliyatlar qayd etilmaganini bildirgan. Biroq zaifliklar ochiq e’lon qilingan va hujumlar boshlanishi faqat vaqt masalasi.

🛡 Qanday choralar ko‘rish kerak?

  1. ISE 3.3 yoki 3.4 versiyalaridan foydalanayotgan tashkilotlar darhol mos yamoqni o‘rnatsin
  2. Tarmoqda API portlariga kirishni faqat ishonchli qurilmalargagina ruxsatlang
  3. Tizim loglarini tekshirib, shubhali API chaqiriqlarini aniqlashga harakat qiling
  4. Cisco’ning rasmiy xavfsizlik byulletenlarini kuzatib boring

Cisco ISE tarmoq xavfsizligining yuragi bo‘lishi mumkin, ammo aynan mana shunday markaziy tizimlardagi zaifliklar — butun himoya devorlarini ag‘darib tashlashga qodir. Raqamli tahdidlar tez harakat qiladi, siz esa ularning oldidan yurishingiz kerak.

🗓 Bugun tizimlaringizni tekshiring.
🔒 Bugun xavfsizlik yangilanishlarini o‘rnating.
⚠️ Bugun ehtimoliy tahdidga qarshi devor qo‘ying.