思科披露ISE产品高危漏洞 - 立即修补！

思科本周披露了其安全策略产品中的一个关键漏洞，该漏洞被评定为最高严重性等级。

CVE-2025-20337是思科身份服务引擎(ISE)和ISE被动身份连接器(ISE-PIC)产品中的漏洞，思科在安全公告中表示"可能允许未经认证的远程攻击者以root用户身份在底层操作系统上执行命令"。该漏洞的CVSS评分为10分，被认为是最高紧急程度。

思科ISE是这家网络巨头的安全策略管理平台，而ISE-PIC是用于整合多个认证数据源的姊妹工具。

CVE-2025-20337与上月底披露的两个类似最高严重性漏洞CVE-2025-20281和CVE-2025-20282并列。所有三个漏洞的描述都相似，在某些细节上略有不同。

新旧ISE漏洞

对于新披露的CVE-2025-20337以及CVE-2025-20281，一个"特定API"导致了漏洞，且攻击者不需要任何有效凭据。

思科表示：“这些漏洞是由于对用户提供输入的验证不足。攻击者可以通过提交特制的API请求来利用这些漏洞。”

对于CVE-2025-20282，ISE和ISE-PIC内部API中的漏洞"可能允许未经认证的远程攻击者将任意文件上传到受影响的设备，然后以root权限在底层操作系统上执行这些文件"。思科表示此漏洞是由于"缺乏文件验证检查，无法阻止上传的文件被放置在受影响系统的特权目录中"。

这三个漏洞可以相互独立利用，且都不需要另一个漏洞来发挥作用。

修补建议

解决所有三个漏洞的更新现已可用。由于思科ISE和ISE-PIC 3.2不受这些问题影响，公司建议3.3客户升级到3.3 Patch 7，3.4客户升级到版本3.4 Patch 2。

然而，由于新披露的漏洞，之前应用的热修补程序可能不再足够。

思科表示：“如果思科ISE安装了热修补程序ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gz或ise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gz，思科建议升级到Release 3.3 Patch 7或Release 3.4 Patch 2。热修补程序未解决CVE-2025-20337，并已从CCO推迟。”

漏洞发现与利用性

思科在其公告中表示，其产品安全事件响应团队(PSIRT)未发现任何利用这三个漏洞的威胁活动。

证书生命周期管理供应商Sectigo的高级研究员Jason Soroko告诉Dark Reading，CVE-2025-20337"获得了完美的CVSS评分"。

他表示：“ISE位于许多校园网络的信任边缘，一旦被攻破，可以重写访问策略，在VLAN之间移动端点，并打开进入每个网段的枢纽。易受攻击的API通常可以从广泛的内部地址范围访问，有时甚至可以从访客Wi-Fi访问，而ISE修补需要破坏性的维护窗口。”

Soroko补充说，尽管思科尚未发现威胁活动，但由于存在公开的概念验证利用和扫描流量，“主动针对性攻击似乎很可能”。

API安全提供商Cequence Security的首席信息安全官(CISO)Randolph Barr告诉Dark Reading，CVE-2025-20337的可利用性部分取决于客户自上个月另外两个漏洞披露以来实施的分层安全控制。

Barr表示：“许多公司的安全计划很可能正在评估其环境是否存在暴露风险。如果他们不进行评估，他们应该进行评估。”