Поставщик корпоративных сетевых и ИТ-решений в своем бюллетене по безопасности в понедельник предупредил, что две уязвимости максимальной степени серьезности, затрагивающие платформу безопасности сетевого доступа Cisco, активно эксплуатируются.
Дефекты программного обеспечения Cisco Identity Services Engine и Cisco ISE Passive Identity Connector — CVE-2025-20281 и CVE-2025-20337 — были раскрыты и устранены Cisco 25 июня, после чего 16 июля была раскрыта третья критическая уязвимость в том же программном обеспечении, CVE-2025-20282 . Cisco заявила, что ей стало известно о попытках эксплуатации CVE-2025-20281 и CVE-2025-20337 21 июля.
«Основываясь на этих сообщениях, мы обновили наши рекомендации по безопасности, чтобы отразить попытку эксплуатации», — заявил представитель Cisco. «На данный момент нам не известно о попытках эксплуатации или вредоносного использования CVE-2025-20282, и мы по-прежнему настоятельно рекомендуем клиентам перейти на исправленные версии программного обеспечения, устраняющие эти уязвимости».
Все три уязвимости имеют рейтинг CVSS 10, и обходных путей для устранения этих программных дефектов не существует. Cisco предупредила, что все три уязвимости могут быть использованы неаутентифицированным удалённым злоумышленником, что позволит выполнить произвольный код в базовой системе с правами root.
Компания Cisco не сообщила, сколько клиентов в настоящее время затронуто этой проблемой.
Дастин Чайлдс, руководитель отдела осведомлённости об угрозах в рамках инициативы Trend Micro Zero Day Initiative, сообщил, что исследователи обнаружили активную эксплуатацию CVE-2025-20281 17 июля. «Поскольку CVE-2025-20281 и CVE-2025-20337 очень похожи, мы полагаем, что обе уязвимости подвергаются активной атаке. Концептуальный код эксплойта был впервые опубликован 27 июня», — сказал Чайлдс.
«Сейчас эти атаки, похоже, ограничены и носят целенаправленный характер. Cisco ISE используется тысячами предприятий, поэтому потенциальный ущерб огромен», — добавил он.
Происхождение и мотивы группы угроз или злоумышленника, стоящего за эксплойтами, остаются неизвестными, но потенциальный интерес широк.
«Эти уязвимости могут быть интересны злоумышленникам, поскольку Cisco ISE обеспечивает высокий уровень видимости сети благодаря ведению журналов, что даёт злоумышленникам информацию о дальнейших атаках в сети», — сказал Чайлдс. «ISE также является хранилищем потенциально всех пользователей в организации».
Дефекты программного обеспечения Cisco Identity Services Engine и Cisco ISE Passive Identity Connector — CVE-2025-20281 и CVE-2025-20337 — были раскрыты и устранены Cisco 25 июня, после чего 16 июля была раскрыта третья критическая уязвимость в том же программном обеспечении, CVE-2025-20282 . Cisco заявила, что ей стало известно о попытках эксплуатации CVE-2025-20281 и CVE-2025-20337 21 июля.
«Основываясь на этих сообщениях, мы обновили наши рекомендации по безопасности, чтобы отразить попытку эксплуатации», — заявил представитель Cisco. «На данный момент нам не известно о попытках эксплуатации или вредоносного использования CVE-2025-20282, и мы по-прежнему настоятельно рекомендуем клиентам перейти на исправленные версии программного обеспечения, устраняющие эти уязвимости».
Все три уязвимости имеют рейтинг CVSS 10, и обходных путей для устранения этих программных дефектов не существует. Cisco предупредила, что все три уязвимости могут быть использованы неаутентифицированным удалённым злоумышленником, что позволит выполнить произвольный код в базовой системе с правами root.
Компания Cisco не сообщила, сколько клиентов в настоящее время затронуто этой проблемой.
Дастин Чайлдс, руководитель отдела осведомлённости об угрозах в рамках инициативы Trend Micro Zero Day Initiative, сообщил, что исследователи обнаружили активную эксплуатацию CVE-2025-20281 17 июля. «Поскольку CVE-2025-20281 и CVE-2025-20337 очень похожи, мы полагаем, что обе уязвимости подвергаются активной атаке. Концептуальный код эксплойта был впервые опубликован 27 июня», — сказал Чайлдс.
«Сейчас эти атаки, похоже, ограничены и носят целенаправленный характер. Cisco ISE используется тысячами предприятий, поэтому потенциальный ущерб огромен», — добавил он.
Происхождение и мотивы группы угроз или злоумышленника, стоящего за эксплойтами, остаются неизвестными, но потенциальный интерес широк.
«Эти уязвимости могут быть интересны злоумышленникам, поскольку Cisco ISE обеспечивает высокий уровень видимости сети благодаря ведению журналов, что даёт злоумышленникам информацию о дальнейших атаках в сети», — сказал Чайлдс. «ISE также является хранилищем потенциально всех пользователей в организации».
