思科警告ISE再现高危RCE漏洞，敦促立即修补

新闻
2025年7月18日 · 4分钟阅读 · 安全 · 漏洞

新披露的漏洞影响特定API，由于输入验证不足导致未经身份验证的攻击者能以root权限执行远程代码。

图片来源：Ken Wolter / Shutterstock

思科发布最新最高严重性安全公告，详细说明其身份服务引擎（ISE）和ISE被动身份连接器（ISE-PIC）中存在未经身份验证的远程代码执行（RCE）漏洞。
这家网络设备巨头警告称，该漏洞与上月修复的关键漏洞非常相似，源于公共API中的输入验证不足。

Cequence Security首席信息安全官Randolph Barr表示：“思科披露的漏洞凸显了API暴露基础设施中的一个令人不安的模式——输入验证不足导致未经身份验证的远程代码执行。该漏洞CVSS评分为10分，是最坏的情况：攻击者无需凭证或用户交互即可远程获取root访问权限。”

思科敦促管理员将该漏洞视为独立于CVE-2025-20281（另一个影响相同身份和访问管理产品的最高严重性漏洞），并应用现已发布的针对性补丁。

通过特制请求实现root级API RCE

该漏洞编号为CVE-2025-20337，影响ISE和ISE-PIC 3.3和3.4版本（但不影响3.2或更早版本），允许攻击者以root权限运行命令或恶意文件，无需任何凭证。

根据思科公告，Cisco ISE和Cisco ISE PIC特定API（也是受CVE-2025-20281影响的同一API）的请求清理不完整，可能允许未经身份验证的远程攻击者在底层操作系统中以root权限执行任意代码。

Barr认为，随着生成式AI的兴起，该漏洞更令人担忧：“2025年特别令人担忧的是生成式AI在民主化漏洞利用方面的作用。缺乏技术经验的攻击者现在可以使用AI识别暴露的Cisco ISE系统，制作恶意API请求并发动针对性攻击，显著缩短威胁窗口。”

该漏洞在Cisco ISE 3.4 Patch 2和3.3 Patch 7版本中已修复。思科表示没有变通方案，更新到修复版本是唯一的补救措施。

该公司还警告，为响应CVE-2025-20281安装的热补丁"ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz"和"ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz"并未解决CVE-2025-20337，客户必须更新到专门的修补版本。

需要更快修补速度

Barr担心该漏洞会被N日攻击滥用：“虽然思科在披露透明度和发布补丁速度方面是积极的，但现实是修补这类漏洞——特别是在大型分布式企业环境中——不是瞬间完成的。重启要求和对高可用性设置的依赖通常会延迟完全修复。”

他补充说，现代漏洞开发的速度和简单性，尤其是通过AI的方式，应该引起关注。

Sectigo高级研究员Jason Soroko更担心潜在漏洞利用的爆炸半径：“ISE位于许多校园网络的信任边缘，漏洞可能重写访问策略、在VLAN之间移动端点，并打开进入每个网段的支点。易受攻击的API通常可以从广泛的内部地址范围访问，有时甚至包括访客Wi-Fi，而ISE修补需要破坏性维护窗口。”

Soroko补充说，主动攻击很可能发生，因为漏洞（CVE-2025-20281）已经在几天内吸引了公开的概念验证漏洞利用和扫描流量。

为了额外保护，Barr建议使用专门的API安全解决方案，可以实时检测和阻止异常API活动，提供端点风险评分，并阻止自动化扫描和有效负载传递。

思科本月非常忙碌，应对了一系列最高严重性漏洞。本月初，该公司修补了其通信设备中的另一个root访问问题，尽管那个问题是自找的，DevOps悄悄存储了供内部使用的硬编码凭证。