思科发布了补丁,以解决其身份服务引擎(ISE)和客户协作平台(CCP)解决方案中公共利用代码的三个漏洞。
最严重的是CVE-2025-20286,由GMO Cybersecurity的Kentaro Kawane在Cisco ISE中发现。这种基于身份的策略执行软件在企业环境中提供端点访问控制和网络设备管理。
该漏洞是由于在云平台上部署 Cisco ISE 时生成的凭据不正确,导致跨不同部署共享凭据。
未经身份验证的攻击者可以通过从 Cisco ISE 云部署中提取用户凭据并使用它们访问其他云环境中的安装来利用它。然而,正如Cisco所解释的那样,只有当主管理节点部署在云中时,威胁行为者才能成功利用此漏洞。
“Cisco Identity Services Engine (ISE)的Amazon Web Services(AWS),Microsoft Azure和Oracle Cloud Infrastructure(OCI)云部署中的漏洞可能允许未经身份验证的远程攻击者访问敏感数据,执行有限的管理操作,修改系统配置或破坏受影响系统内的服务。
“Cisco PSIRT 知道概念验证漏洞漏洞可用于本咨询中描述的漏洞。
思科补充说,以下ISE部署不容易受到攻击:
- ①所有本地部署,具有从 Cisco Software Download Center (ISO 或 OVA)安装工件的任何外形因素。这包括具有不同外形尺寸的电器和虚拟机。
- ②Azure VMware 解决方案 (AVS)
- ③Google Cloud VMware 引擎
- ④AWS 中的 VMware 云上的 ISE
- ⑤ISE 混合部署,所有 ISE 管理员角色(主要和次要管理)在内部部署,以及云中的其他角色。
该公司建议仍在等待修补程序的管理员,或者无法立即应用今天发布的修补程序在Primay Administration persona clushous节点上运行应用程序重置-config ise命令,以将用户密码重置为新值。
但是,管理员也应该意识到此命令将Cisco ISE重置为出厂配置,并且恢复备份也将恢复原始凭据。
今天修补的概念验证漏洞漏洞的另外两个安全漏洞是思科ISE中的任意文件上传(CVE-2025-20130)和思科客户协作平台(前身为思科SocialMiner)中的信息披露(CVE-2025-20129)。
今年9月,思科修补了另一个ISE漏洞,这是一个带有公共漏洞代码的命令注入漏洞,可以让攻击者升级特权以在未修补的系统上生根。
发表评论
您还未登录,请先登录。
登录