思科ISE与ISE-PIC中的多个漏洞可能允许远程代码执行

MS-ISAC 公告编号：2025-059
发布日期：2025年6月25日

概述

在思科ISE（Identity Services Engine）和ISE-PIC中发现多个可能允许远程代码执行的漏洞。思科身份服务引擎是一个安全策略管理平台，提供对网络资源的安全访问。成功利用这些漏洞可能允许攻击者在受影响的设备上获取root权限。

威胁情报

目前尚未发现这些漏洞在野被利用的报告。

受影响系统

思科ISE和ISE-PIC 3.3及更高版本

风险等级

政府机构：

• 大型和中型政府实体：高
• 小型政府实体：中

企业：

• 大型和中型企业实体：高
• 小型企业实体：中

家庭用户：低

技术细节

在思科ISE和ISE-PIC中发现多个可能允许远程代码执行的漏洞，具体细节如下：

战术：初始访问（TA0001） 技术：利用面向公众的应用程序（T1190）

CVE-2025-20281： 思科ISE和ISE-PIC特定API中的漏洞可能允许未经认证的远程攻击者在底层操作系统上以root权限执行任意代码。攻击者无需任何有效凭据即可利用此漏洞。该漏洞是由于对用户提供输入的验证不足导致的。攻击者可通过提交特制的API请求来利用此漏洞。

CVE-2025-20282： 思科ISE和ISE-PIC内部API中的漏洞可能允许未经认证的远程攻击者向受影响设备上传任意文件，然后在底层操作系统上以root权限执行这些文件。该漏洞是由于缺乏文件验证检查，无法阻止上传的文件被放置在受影响系统的特权目录中。

成功利用这些漏洞可能允许攻击者在受影响的设备上获取root权限。

修复建议

建议采取以下措施：

1. 立即应用更新（M1051：更新软件）

   • 经过适当测试后立即为易受攻击的系统应用思科提供的适当更新

2. 漏洞管理流程（保障措施7.1）

   • 建立并维护企业资产的文档化漏洞管理流程
   • 每年或在发生可能影响此保障措施的重大企业变更时审查和更新文档

3. 修复流程（保障措施7.2）

   • 建立并维护基于风险的修复策略，每月或更频繁地进行审查

4. 自动化补丁管理（保障措施7.4）

   • 通过自动化补丁管理每月或更频繁地执行企业资产的应用更新

5. 漏洞扫描（保障措施7.5）

   • 每季度或更频繁地对企业内部资产执行自动化漏洞扫描
   • 使用符合SCAP的漏洞扫描工具进行认证和非认证扫描

6. 网络基础设施更新（保障措施12.1）

   • 确保网络基础设施保持最新状态，每月或更频繁地审查软件版本

7. 渗透测试（保障措施18.1-18.3）

   • 建立和维护适合企业规模、复杂性和成熟度的渗透测试计划
   • 基于程序要求定期执行外部渗透测试
   • 根据企业的修复范围优先级策略修复渗透测试发现的问题

8. 最小权限原则（M1026：特权账户管理）

   • 对所有系统和服务应用最小权限原则
   • 以非特权用户身份运行所有软件以减少成功攻击的影响

9. 网络分段（M1030：网络分段）

   • 通过网络架构隔离关键系统、功能或资源
   • 使用物理和逻辑分段防止访问潜在敏感系统和信息

10. 利用防护（M1050：利用保护）

    • 使用功能检测和阻止可能导致或指示软件利用发生的条件

参考链接

CVE：

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-20281
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-20282

思科安全公告：

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6#details