多重漏洞概述

多个安全漏洞在Cisco身份服务引擎（ISE）和ISE策略服务节点（ISE-PIC）中被发现，这些漏洞可能导致远程代码执行。Cisco ISE是一个安全策略管理平台，用于提供对网络资源的安全访问。成功利用这些漏洞可能使攻击者在受影响的设备上获得root权限。

威胁情报

目前尚未发现这些漏洞在野被利用的报告。

受影响系统

• Cisco ISE和ISE-PIC 3.3及更高版本

风险等级

• 政府机构：大型和中型政府实体（高风险）；小型政府实体（中风险）
• 企业：大型和中型企业实体（高风险）；小型企业实体（中风险）
• 家庭用户：低风险

技术细节

发现的多个漏洞可能允许远程代码执行，具体细节如下：

初始访问（TA0001）技术：利用面向公众的应用程序（T1190）

1. CVE-2025-20281：Cisco ISE和ISE-PIC特定API中的漏洞可能允许未经身份验证的远程攻击者在底层操作系统上以root权限执行任意代码。攻击者无需有效凭据即可利用此漏洞。该漏洞源于对用户提供输入验证不足。攻击者可通过提交特制的API请求来利用此漏洞，成功利用可能使攻击者在受影响的设备上获得root权限。

2. CVE-2025-20282：Cisco ISE和ISE-PIC内部API中的漏洞可能允许未经身份验证的远程攻击者向受影响的设备上传任意文件，并在底层操作系统上以root权限执行这些文件。该漏洞源于缺乏文件验证检查，无法防止上传的文件被放置在受影响系统的特权目录中。攻击者可通过向受影响的设备上传特制文件来利用此漏洞，成功利用可能使攻击者在受影响的系统上存储恶意文件并执行任意代码或获得root权限。

成功利用这些漏洞可能使攻击者在受影响的设备上获得root权限。

修复建议

建议采取以下行动：

软件更新与漏洞管理

• 在适当测试后立即应用Cisco为易受攻击系统提供的适当更新（M1051：更新软件）。
• 保障措施7.1：建立并维护企业资产的漏洞管理流程，每年审查和更新文档，或在发生可能影响此保障措施的重大企业变更时进行更新。
• 保障措施7.2：建立并维护基于风险的修复策略，记录在修复流程中，每月或更频繁地进行审查。
• 保障措施7.4：通过自动补丁管理每月或更频繁地对企业资产执行应用程序更新。
• 保障措施7.5：每季度或更频繁地对企业内部资产执行自动漏洞扫描，使用符合SCAP的漏洞扫描工具进行身份验证和非身份验证扫描。
• 保障措施7.7：根据修复流程每月或更频繁地通过流程和工具修复检测到的软件漏洞。
• 保障措施12.1：确保网络基础设施保持最新，例如运行最新的稳定软件版本和/或使用当前支持的网络即服务（NaaS）产品，每月或更频繁地审查软件版本以验证软件支持。

权限管理与渗透测试

• 对所有系统和服务应用最小权限原则，以非特权用户（无管理权限）身份运行所有软件，以减轻成功攻击的影响（M1026：特权账户管理）。
• 保障措施4.7：管理企业资产和软件上的默认账户，例如root、管理员和其他预配置的供应商账户，示例实现包括禁用默认账户或使其无法使用。
• 保障措施5.5：建立并维护服务账户清单，至少包含部门所有者、审查日期和目的，每季度或更频繁地执行服务账户审查以验证所有活动账户是否已授权。
• 使用漏洞扫描来发现潜在可利用的软件漏洞并进行修复（M1016：漏洞扫描）。
• 保障措施16.13：执行应用程序渗透测试，对于关键应用程序，身份验证的渗透测试比代码扫描和自动安全测试更适合发现业务逻辑漏洞，渗透测试依赖于测试人员以身份验证和非身份验证用户手动操作应用程序的技能。
• 保障措施18.1：建立并维护适合企业规模、复杂性和成熟度的渗透测试程序，包括网络、Web应用程序、API、托管服务和物理场所控制等范围；频率；限制（如可接受时间和排除的攻击类型）；联系人信息；修复（如内部路由发现的方式）；以及回顾性要求。
• 保障措施18.2：根据程序要求定期执行外部渗透测试，每年不少于一次，外部渗透测试必须包括企业和环境侦察以检测可利用信息，渗透测试需要专业技能和经验，必须通过合格方进行，测试可以是白盒或黑盒。
• 保障措施18.3：根据企业的修复范围和优先级政策修复渗透测试发现的问题。

网络架构与攻击防护

• 架构网络部分以隔离关键系统、功能或资源，使用物理和逻辑分段防止访问潜在敏感系统和信息，使用DMZ包含不应从内部网络暴露的任何面向互联网的服务，配置单独的虚拟私有云（VPC）实例以隔离关键云系统（M1030：网络分段）。
• 保障措施12.2：建立并维护安全的网络架构，安全的网络架构必须至少解决分段、最小权限和可用性问题。
• 使用功能检测和阻止可能导致或指示软件漏洞利用的条件（M1050：漏洞利用保护）。
• 保障措施10.5：尽可能在企业资产和软件上启用防漏洞利用功能，例如Microsoft®数据执行保护（DEP）、Windows® Defender漏洞利用防护（WDEG）或Apple®系统完整性保护（SIP）和Gatekeeper™。

参考链接

• CVE：
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-20281
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-20282
• Cisco：
  • https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6#details