思科警告ISE存在新的严重RCE漏洞，敦促立即修补

新闻 2025年7月18日 · 4分钟阅读 · 安全 · 漏洞

新披露的漏洞影响特定API，由于输入验证不足导致未认证攻击者可直接获取root权限的远程代码执行能力。

思科发布最新最高级别安全公告，披露其身份服务引擎（ISE）及ISE被动身份连接器（ISE-PIC）中存在未认证远程代码执行（RCE）漏洞。这家网络设备巨头警告称，该漏洞与上月修复的严重漏洞高度相似，源于公共API的输入验证不充分。

思科安全首席信息安全官Randolph Barr表示：“思科披露的漏洞凸显了API暴露基础设施中的危险模式——输入验证不足导致未认证远程代码执行。CVSS评分达到10分，这是最坏的情况：攻击者无需凭证或用户交互即可远程获取root访问权限。”

通过精心构造的请求实现root级API RCE

该漏洞编号为CVE-2025-20337，影响ISE和ISE-PIC 3.3及3.4版本（但不影响3.2或更早版本），允许攻击者以root权限运行命令或恶意文件，且无需任何凭证。

根据思科公告，特定API（同样受CVE-2025-20281影响）的请求清理不完整，可能允许未认证的远程攻击者在底层操作系统上以root权限执行任意代码。

Barr认为，随着生成式AI的兴起，该漏洞尤其令人担忧：“2025年特别令人担忧的是生成式AI在漏洞利用民主化中的作用。缺乏技术经验的攻击者现在可以使用AI识别暴露的思科ISE系统，制作恶意API请求并发动定向攻击，显著缩短威胁窗口期。”

该漏洞已在思科ISE 3.4 Patch 2和3.3 Patch 7版本中修复。思科表示没有临时解决方案，更新到修复版本是唯一的补救措施。

需要更快速度的修补

Barr对漏洞被发现后可能被滥用的风险表示担忧：“虽然思科在披露透明度和发布补丁速度方面值得肯定，但现实是修补这类漏洞——特别是在大型分布式企业环境中——并非立即可完成。重启要求和高可用性设置的依赖性通常会延迟完全修复。”

Sectigo高级研究员Jason Soroko更担心潜在漏洞利用的影响范围：“ISE位于许多校园网络的信任边缘，一旦被攻破，可以重写访问策略、在VLAN之间移动端点，并打开通往每个网段的通道。易受攻击的API通常可从广泛的内部地址范围访问，有时甚至包括访客Wi-Fi，而ISE修补需要破坏性的维护窗口。”

额外的防护建议

Barr建议使用专门的API安全解决方案，实时检测和阻止异常API活动，提供端点风险评分，并阻止自动化扫描和有效载荷传递。

思科本月已连续处理多个最高严重性漏洞。本月初，该公司修补了其通信设备中的另一个root访问问题，尽管那个问题是由DevOps团队为内部使用悄悄存储硬编码凭证导致的自身失误。

图片来源：Ken Wolter / Shutterstock